De Dienst Justitiële Inrichtingen (DJI) is getroffen door een ernstig en langdurig cyberincident. Digitale indringers hadden zeker vijf maanden lang toegang tot de systemen en zijn daar mogelijk nog steeds aanwezig. Dit blijkt uit onderzoek van het onderzoeksprogramma Argos.
Op 12 februari werden medewerkers van de organisatie — die verantwoordelijk is voor gevangenissen, TBS-klinieken en vreemdelingenbewaring — via een interne briefing geïnformeerd. Waar DJI aanvankelijk dacht dat de gegevens veilig waren, heeft onderzoek door een externe specialist nu het tegendeel aangetoond.
Risico op chantage
Het datalek is bijzonder gevoelig vanwege de aard van het werk bij DJI. De gelekte informatie bevat e-mailadressen, telefoonnummers en beveiligingscertificaten van gebruikers van zakelijke laptops, telefoons en tablets.
Omdat medewerkers van DJI dagelijks werken met gedetineerden en TBS-patiënten, vormt dit lek een direct veiligheidsrisico. De organisatie vreest dat personeelsleden kwetsbaar zijn geworden voor chantage of afpersing. Ook is het nog onduidelijk of de hackers toegang hadden tot de locatiegegevens van de apparaten. Medewerkers hebben inmiddels het dringende advies gekregen hun locatievoorzieningen uit te schakelen.
'Uithuilen en opnieuw beginnen'
De aanval vond plaats via een kwetsbaarheid in de software van Ivanti EPMM, een systeem dat wordt gebruikt om mobiele apparaten centraal te beheren. Volgens het Nationaal Cyber Security Centrum (NCSC) stelt dit lek indringers in staat om niet alleen data te stelen, maar ook op afstand eigen commando’s uit te voeren op de apparaten.
Hoewel het lek inmiddels gedicht kan worden met een software-update, is het gevaar daarmee niet geweken. De kans is groot dat de hackers 'achterdeurtjes' hebben geplaatst om toegang te behouden. Cybersecurity-expert Frank Breedijk is onverbiddelijk in zijn oordeel tegenover Argos:
"Als een systeem eenmaal gecompromitteerd is, moet je het in feite als verloren beschouwen. Dan kun je feitelijk alleen uithuilen en opnieuw beginnen."
In de praktijk betekent dit dat alle getroffen apparaten volledig gewist en opnieuw geïnstalleerd moeten worden.
Bredere aanval
DJI staat niet alleen in deze crisis. Eerder deze maand werd al bekend dat ook de Autoriteit Persoonsgegevens en de Raad voor de Rechtspraak via hetzelfde lek in de Ivanti-software zijn getroffen. DJI heeft inmiddels melding gemaakt van het voorval bij de Autoriteit Persoonsgegevens en stelt een diepgaand onderzoek in naar de exacte omvang van de schade.
Source: Fok frontpage