Door Anoniem: Wat er feitelijk gebeurd is (zie artikel Tweakers):
https://tweakers.net/nieuws/245735/criminelen-hackten-it-dienst-overheid-nl-omvang-onbekend-door-slechte-logging.htmlVolgens het nieuwsbericht is een belangrijke overheids-IT-dienst gehackt: de Justitiële ICT Organisatie (JIO). Die beheert IT voor o.a.: A) ministerie van Justitie en Veiligheid
B) Autoriteit Persoonsgegevens
C) Raad voor de Kinderbescherming
D) Dienst Justitiële Inrichtingen
De aanval gebeurde waarschijnlijk via een lek in Citrix NetScaler-software, hetzelfde type kwetsbaarheid waardoor eerder ook het Openbaar Ministerie werd getroffen.Kort samengevat: Hackers vonden een kwetsbaarheid in de Citrix-software.
Via dat lek konden ze het netwerk binnenkomen.
In de JIO-omgeving bleken extra beveiligingsproblemen aanwezig.
Waarom het nu nieuws isHet probleem is niet alleen dat er een hack was, maar dat niemand precies weet hoe erg die was.Dat komt door twee dingen:
A)
Slechte loggingLogging = bijhouden wat er gebeurt op servers en netwerken.
Bronnen zeggen dat:
Logging “min of meer uitstond”
Daardoor is niet te reconstrueren wat hackers gedaan hebben.
JIO zegt echter dat logging wel werkte,
maar dat de firewall te veel verkeer toeliet.B)
Firewall verkeerd ingesteldBronnen zeggen dat de interne firewall door een configuratiefout praktisch uitgeschakeld was.
JIO zegt dat hij niet uit stond, maar “meer verkeer doorliet dan nodig”.
Technisch gezien kan dat bijna hetzelfde betekenen.Waarom ze systemen niet meteen offline haalden?Beveiligers adviseerden volgens het onderzoeksprogramma Argos om alles offline te halen.
Maar dat is bij overheids-ketens ingewikkeld.
De systemen zijn gekoppeld aan o.a.:
1) gevangenissen
2) enkelband-monitoring
3) strafrechtketen
Als je dat ineens uitschakelt kan bijvoorbeeld enkelbandcontrole stoppen.
Daarom besloot men systemen niet direct uit te zetten.
Waarom mensen elkaar tegensprekenEr spelen drie verschillende belangen:
1) Onderzoekers / bronnen
Willen laten zien dat de beveiliging slecht was
Benadrukken logging uit / firewall fout
2) De organisatie zelf (JIO)
Minimaliseert impact
Zegt dat logging wel werkte
3) Ministerie
zei eerder zelfs dat er geen misbruik was gevonden
nu blijkt dat er toch een hack wasDat verschil veroorzaakt nu verwarring.
Het grotere plaatjeDeze hack staat niet op zichzelf. In 2025:
a) Werd het Openbaar Ministerie ook via Citrix gehackt
b) Gingen systemen weken offline
c) Strafprocessen werden verstoord.
Daarnaast klaagden duizenden OM-medewerkers over structureel slechte ICT en onderinvestering.
Veel experts zeggen dus dat het probleem systemisch is.
Kort samengevat:Wat waarschijnlijk echt gebeurd is:
1) Hackers kwamen via een Citrix-lek binnen.
2) In het netwerk waren beveiligingsfouten (firewall/logging).
3) Daardoor kan men niet goed zien wat de hackers gedaan hebben.
4) De overheid probeert de impact naar beneden te praten (downplayen), terwijl bronnen zeggen dat het ernstiger kan zijn.
Het kan natuurlijk ook zijn, sommige roepen wat, zonder alle benodigde informatie.
Een overheid moet met feiten werken en niet aannames.
Zodra men namelijk iets communiceerd, en
* Echteraf bleek dat niet correct -> Iedereen weer kwaad. En vraagt iedere keer weer hierop door.
* Men verteld dat dit misschien het geval is, men dit nog niet weet -> Iedereen weer kwaad. En vraagt iedere keer weer hierop door.
* Dat deze informatie nog niet duidelijk is -> Iedereen weer kwaad. En vraagt iedere keer weer hierop door.
* Men weinig informatie geeft, maar wat men wel zeker weet en dit kan gecommuniceerd worden. -> Iedereen weer kwaad. En vraagt iedere keer weer hierop door.
Ofwel, ze kunnen het nooit goed doen.
Dat er wat fout is gegaan, is overduidelijk.
