Door een lek in de vergadersoftware Webex, gebruikt door de Rijksoverheid, konden Duitse onderzoekers informatie over ruim tienduizend vergaderingen verzamelen, waaronder die van ministers. Mogelijk konden kwaadwillenden zelfs meeluisteren. Wat valt er te leren van dit lek?
De beveiliging van Webex, een vergadertool gemaakt door het Amerikaanse bedrijf Cisco, bleek maandenlang makkelijk te omzeilen. Dat bleek woensdag uit Duits onderzoek, gepubliceerd in Die Zeit. De Duitse ethische hackers konden informatie van ruim tienduizend Nederlandse overheidsvergaderingen verzamelen, meer dan in de andere landen waar zij het overheidsgebruik van Webex onderzochten.
Zij vonden onder meer informatie over videogesprekken aangemaakt door ministers Dilan Yeşilgöz-Zegerius (Justitie en Veiligheid) en Franc Weerwind (Rechtsbescherming). Dankzij het onderzoek is het lek inmiddels gedicht.
‘Ik vind het onacceptabel dat dit heeft kunnen gebeuren’, schreef demissionair staatssecretaris Digitalisering Alexandra van Huffelen (D66) woensdagavond in een Kamerbrief. ‘En dat deze kwetsbaarheden bij de Rijksoverheid via de Duitse media tot ons zijn gekomen, in plaats van via de leverancier’, aldus Van Huffelen. ‘Het slaat nergens op, dat de beveiliging van Webex ondermaats is én dat Cisco de Rijksoverheid er niet direct over informeerde’, zegt ook Michel van Eeten, hoogleraar cybersecurity aan de TU Delft.
Over de auteur
Frank Rensen is wetenschapsjournalist en schrijft voor de Volkskrant over technologie, van cybersecurity en wetgeving tot games en cryptovaluta.
Wat voor lek is er gevonden?
Wanneer een Kamerlid, minister of ambtenaar een Webex-videovergadering deelt met collega’s, doen zij dit met een webadres van de vergadering. Hoewel de vergadering zelf vrijwel altijd is beveiligd met een wachtwoord, is de bijbehorende link dat niet: het is een reeks letters en cijfers. ‘Om te voorkomen dat mensen deze reeks kunnen gokken en zonder toestemming informatie over de vergaderingen kunnen inzien, moet het linkadres willekeurig en lang zijn’, zegt Van Eeten.
Dit was niet het geval bij de webadressen van Webex-vergaderingen: ‘De cijfercode voor elke nieuwe vergadering werd steeds met een waarde van vijf opgehoogd’, aldus Netzbegrünung, de ngo achter het Duitse onderzoek. Door deze voorspelbaarheid was het kinderspel om in de informatiepagina van een vergadering te komen.
Hoe groot is de schade?
Het is onbekend in hoeverre het lek in het verleden kan zijn misbruikt. Áls er informatie is gelekt, zullen dat met name ‘metadata’ zijn, informatie over vergaderingen. Op schermopnamen, gemaakt door Netzbegrünung en ingezien door de Volkskrant, zijn de titels van vergaderingen te zien, hoe laat ze beginnen, hoe lang ze duren en wie ze aanmaakte.
In Duitsland slaagde Netzbegrünung er echter ook in om ongemerkt telefonisch in te bellen bij Webex-vergaderingen. Deze kwetsbaarheid is eind februari mogelijk door de Russische inlichtingendienst misbruikt om een vergadering af te luisteren van hooggeplaatste Duitse militairen over de inzet van Taurus-raketten in Oekraïne.
De onderzoekers hebben niet geprobeerd in Nederlandse vergaderingen in te bellen. Van Huffelen schrijft dat het ‘gegeven de wijze waarop de Nederlandse rijksvideo-omgeving is ingericht’ onwaarschijnlijk is dat Nederlandse vergaderingen waren af te luisteren. Ze stelt wel een onderzoek in.
Telefonisch inbellen kan nu niet meer in de rijksvideo-omgeving. Voorheen was dit wel een optie, aldus een bron met kennis van het gebruik van Webex bij de overheid. Het is daarom niet uit te sluiten dat buitenlandse inlichtingendiensten ooit ongemerkt vergaderingen bijwoonden. ‘Zeker wanneer er veel deelnemers zijn in een vergadering, valt het niet op wanneer een onbekende inbelt’, zegt de bron.
Wat kan de Nederlandse overheid leren van dit incident?
Het voorval laat volgens Van Eeten zien wat er fout kan gaan wanneer de Rijksoverheid cybersecurity uitbesteedt – de overheid kon het Webex-lek zelf niet voorkomen. ‘Hoe erg is het dat een Amerikaans bedrijf kerndiensten levert in het Nederlandse publieke domein? Dat is een vraag waar de politiek iets van moet vinden.’
Het onderwerp van de digitale autonomie van Nederland is breder dan de Rijksoverheid of Webex alleen. Zo verhuist de Rijksoverheid steeds meer onderdelen van de ict naar de cloudomgeving van Microsoft en wil de SIDN, beheerder van het .nl-domein, het registratiesysteem van Nederlandse websites migreren naar de Amazon-cloud. Van Eeten: ‘Deze systemen zelf opzetten en beheren is duur, lastig en niet per se veiliger dan wanneer je er Amerikaanse bedrijven bij betrekt. Maar wanneer je het blijft uitbesteden, verdwijnt er steeds meer expertise uit het land.’ Na twee mislukte pogingen is donderdagmiddag een aanvraag aangenomen voor een Kamerdebat over de cloudmigratie van de Rijksoverheid.
Geselecteerd door de redactie
Source: Volkskrant