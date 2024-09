De Rijksoverheid heeft geen geschikt alternatief voor Cisco Webex, zo heeft staatssecretaris Zsolt Szabó voor Digitalisering laten weten op vragen uit de Tweede Kamer. PVV, Nieuw Sociaal Contract (NSC) en de VVD wilden opheldering over het recente datalek bij de videovergaderingsdienst, waardoor metadata van overheidsvergaderingen voor onbevoegden toegankelijk was. Ook werd er gevraagd naar een opensource-alternatief voor Webex en de manier waarop Cisco met kwetsbaarheden en bugmeldingen omgaat.

Volgens de staatssecretaris werd het datalek bij Webex veroorzaakt doordat er gebruik werd gemaakt van voorspelbare url's. "Dit betrof geen configuratiefout van de Rijksvideodienst (Belastingdienst). De inrichting is gecheckt in samenwerking met CIO Rijk en de AIVD/NBV. Hiervoor is onder andere een BSPA1 en DPIA2 uitgevoerd. Wel kon er via enumeratie, door een voorspelbare logische volgordelijkheid in de unieke internetadressen van websites (URL’s genoemd), metadata van andere vergaderingen worden ingezien door ongeautoriseerde gebruikers."

Cisco heeft laten weten dat dit mogelijk was door kwetsbaarheden in specifiek de Cloud-applicaties van Cisco Webex meetings. "De Rijksoverheid heeft aanbevolen veiligheidsinstellingen en werkt veelal niet met de cloudversie, maar met de clientversie van Webex", voegt Szabó toe. Het bleek ook mogelijk dat ongeautoriseerde gebruikers onder bepaalde voorwaarden vertrouwelijke videovergaderingen hebben kunnen bijwonen. Cisco ondersteunt namelijk de mogelijkheid in te bellen via het Public Switched Telephone Network op Cisco Webex Meetings. In Nederland zijn echter geen gevallen hiervan bekend, aldus de staatssecretaris.

Overleg met Cisco over CVD-beleid

PVV-Kamerlid Valize, NSC-Kamerlid Six Dijkstra en VVD-Kamerlid Rajkowski hadden ook vragen gesteld over het ‘coordinated vulnerability disclosure’ (CVD)-beleid van Cisco. Via dergelijk beleid geven organisaties aan hoe ze met meldingen van kwetsbaarheden omgaan. "Cisco heeft ervoor gekozen om in dit geval een andere procedure dan de coordinated vulnerability disclosure (CVD) procedure te volgen en geen kenmerken toe te kennen aan de kwetsbaarheden", laat Szabó weten. "Naar aanleiding van het incident wordt op korte termijn overleg met Cisco gevoerd om Cisco’s beleid en processen ten aanzien van mogelijke toekomstig geconstateerde kwetsbaarheden/incidenten aan te passen."

Alternatief

Als laatste hadden de Kamerleden gevraagd of de staatssecretaris bereid is om een opensource-alternatief voor Webex te overwegen. "De selectie van een leverancier voor het rijksbreed videoconferencing platform heeft middels een openbare aanbesteding plaatsgevonden. Geen van de inschrijvende partijen had een open source oplossing aangeboden", antwoordt Szabó. "Uiteraard houden wij ons graag op de hoogte van de ontwikkelingen in de markt, maar we zien dat wat betreft de schaalgrootte en de complexiteit van de organisatie van de rijksoverheid er op dit moment geen gelijkwaardige alternatieven beschikbaar zijn."