Wat er feitelijk gebeurd is (zie artikel Tweakers):
https://tweakers.net/nieuws/245735/criminelen-hackten-it-dienst-overheid-nl-omvang-onbekend-door-slechte-logging.html

Volgens het nieuwsbericht is een belangrijke overheids-IT-dienst gehackt: de Justitiële ICT Organisatie (JIO). Die beheert IT voor o.a.:

A) ministerie van Justitie en Veiligheid

B) Autoriteit Persoonsgegevens

C) Raad voor de Kinderbescherming

D) Dienst Justitiële Inrichtingen

De aanval gebeurde waarschijnlijk via een lek in Citrix NetScaler-software, hetzelfde type kwetsbaarheid waardoor eerder ook het Openbaar Ministerie werd getroffen.

Kort samengevat:

Hackers vonden een kwetsbaarheid in de Citrix-software.
Via dat lek konden ze het netwerk binnenkomen.
In de JIO-omgeving bleken extra beveiligingsproblemen aanwezig.

Waarom het nu nieuws is

Het probleem is niet alleen dat er een hack was, maar dat niemand precies weet hoe erg die was.

Dat komt door twee dingen:
A) Slechte logging

Logging = bijhouden wat er gebeurt op servers en netwerken.

Bronnen zeggen dat:

Logging “min of meer uitstond”
Daardoor is niet te reconstrueren wat hackers gedaan hebben.
JIO zegt echter dat logging wel werkte, maar dat de firewall te veel verkeer toeliet.

B) Firewall verkeerd ingesteld

Bronnen zeggen dat de interne firewall door een configuratiefout praktisch uitgeschakeld was.
JIO zegt dat hij niet uit stond, maar “meer verkeer doorliet dan nodig”.

Technisch gezien kan dat bijna hetzelfde betekenen.

Waarom ze systemen niet meteen offline haalden?

Beveiligers adviseerden volgens het onderzoeksprogramma Argos om alles offline te halen.
Maar dat is bij overheids-ketens ingewikkeld.

De systemen zijn gekoppeld aan o.a.:

1) gevangenissen
2) enkelband-monitoring
3) strafrechtketen

Als je dat ineens uitschakelt kan bijvoorbeeld enkelbandcontrole stoppen.
Daarom besloot men systemen niet direct uit te zetten.

Waarom mensen elkaar tegenspreken

Er spelen drie verschillende belangen:

1) Onderzoekers / bronnen

Willen laten zien dat de beveiliging slecht was
Benadrukken logging uit / firewall fout

2) De organisatie zelf (JIO)

Minimaliseert impact
Zegt dat logging wel werkte

3) Ministerie

zei eerder zelfs dat er geen misbruik was gevonden

nu blijkt dat er toch een hack was

Dat verschil veroorzaakt nu verwarring.

Het grotere plaatje

Deze hack staat niet op zichzelf. In 2025:

a) Werd het Openbaar Ministerie ook via Citrix gehackt
b) Gingen systemen weken offline
c) Strafprocessen werden verstoord.

Daarnaast klaagden duizenden OM-medewerkers over structureel slechte ICT en onderinvestering.

Veel experts zeggen dus dat het probleem systemisch is.

Kort samengevat:

Wat waarschijnlijk echt gebeurd is:

1) Hackers kwamen via een Citrix-lek binnen.
2) In het netwerk waren beveiligingsfouten (firewall/logging).
3) Daardoor kan men niet goed zien wat de hackers gedaan hebben.
4) De overheid probeert de impact naar beneden te praten (downplayen), terwijl bronnen zeggen dat het ernstiger kan zijn.