De Citrix-omgeving van de Justitiële ICT Organisatie, die medewerkers gebruiken voor thuiswerken, is vorig jaar gehackt, zo laat de organisatie tegenover Argos weten. Via dezelfde kwetsbaarheid werd ook het Openbaar Ministerie (OM) aangevallen, dat daarop offline ging. In tegenstelling tot het OM werd de Citrix-omgeving van de Justitiële ICT Organisatie niet offline gehaald. Dit zou gedaan zijn omdat het onduidelijk was of de enkelbanden van gedetineerden dan nog zouden werken, aldus bronnen tegenover Argos.

Op 17 juli besloot het OM uit voorzorg de interne systemen van het internet los te koppelen. Aanleiding was een bericht van het Nationaal Cyber Security Centrum (NCSC) dat er mogelijk misbruik was gemaakt van een kwetsbaarheid in Citrix. Eind juli vorig jaar meldde de Justitiële ICT Organisatie (JIO) dat het vanwege de aanval op het Openbaar Ministerie onderzoek deed naar de Citrx-omgeving van de Dienst Justitiële Inrichtingen (DJI). In augustus liet minister Van Weel van Justitie en Veiligheid in een brief aan de Tweede Kamer weten dat via het NCSC het signaal was ontvangen dat naast het OM ook bij de JIO gebruik was gemaakt van de kwetsbaarheid in de Citrix-omgeving (pdf).

"De JIO heeft overwogen of het afkoppelen van de ict-omgeving van het internet nodig was. Er waren op dat moment geen aanwijzingen dat daadwerkelijk misbruik was gemaakt van de kwetsbaarheid. Daarom en mede gezien de verregaande operationele consequenties voor de opdrachtgevers is daarom besloten in dit geval niet af te koppelen. Wel is onmiddellijk de kwetsbaarheid verholpen en een onderzoek ingesteld. Uit dit onderzoek is geen signaal gekomen van mogelijk misbruik in de achterliggende it-omgevingen", voegde minister Van Weel toe.

Bronnen stellen tegenover Argos dat de aanvallers vanaf de Citrix-server wel onopgemerkt konden doordringen tot de systemen van justitiële instellingen. Dat zou mogelijk zijn geweest doordat de interne firewall door een configuratiefout in feite was uitgeschakeld. Ook stond de monitoring en logging van de firewall uitgeschakeld. De JIO ontkent dit. "De logging en monitoring van de firewall heeft niet uit gestaan." Daarnaast zijn er volgens de organisatie geen signalen gekomen van mogelijk misbruik in de achterliggende it-omgevingen.

De organisatie stelt ook dat er geen sprake is van een configuratiefout in de firewall. "De buitenste firewall, dat is de firewall die tussen het internet en de Netscaler is geplaatst is juist geconfigureerd. De binnenste firewalls, die tussen de Netscaler en interne systemen zijn geplaatst, lieten meer verkeer door dan strikt noodzakelijk is voor de reguliere werking. Maar dat verkeer bleef wel binnen zijn eigen veiligheidszone."

Argos meldt dat de interne firewall die JIO moest beschermen wordt beheerd door ict-dienstverlener Solvinity. Bronnen claimen dat de aanvallers via de verkeerd geconfigureerde firewall van Solvinity toegang hadden tot zowel de ict-systemen van opdrachtgevers van JIO, als tot andere klanten van Solvinity. Dit wordt door het ministerie van Justitie en Veiligheid ontkend. "Er is geen sprake geweest van verkeerd geconfigureerde firewall van Solvinity." Na de aanval heeft de JIO een extern cybersecuritybedrijf onderzoek laten doen. De JIO zegt dat het de resultaten "vanwege veiligheidsoverwegingen" niet met de Tweede Kamer zal delen.