Nieuws
image

Staatssecretaris: datalekken zoals bij gemeente Epe helaas niet uniek

woensdag 17 juni 2026, 10:15 door Redactie, 12 reacties

Datalekken zoals bij de gemeente Epe, waar criminelen persoonlijke gegevens van bijna alle inwoners wisten te stelen, zijn helaas niet uniek, zo stelt staatssecretaris Van der Burg van Binnenlandse Zaken. De bewindsman kwam op verzoek van de ChristenUnie met een kabinetsreactie op het incident. Aanvallers wisten door middel van een ClickFix-aanval binnen te komen. Daarnaast lukte het de aanvallers om het wachtwoord van een beheerder te kraken en toegang tot een noodaccount te krijgen.

Bij de aanval werd 871 gigabyte aan data buitgemaakt, waaronder een export uit de Basisregistratie Personen (BRP) met persoonsgegevens van inwoners, zoals naam, adres, geslacht, woonplaats, geboortedatum en BSN. Onlangs kwam de gemeente met een evaluatie van het datalek en kondigde aan dat het onder andere het bewustwordingsprogramma voor medewerkers gaat vernieuwen. "Ik heb de ontwikkelingen rondom de cyberaanval in Epe nauwlettend gevolgd en betreur de gevolgen van dit datalek", stelt Van der Burg in de reactie.

De staatssecretaris merkt op dat het aan een betrokken gemeente is om te onderzoeken wat er precies is gebeurd en zich hierover te verantwoorden aan haar gemeenteraad. "Decentrale bestuursorganen hebben hierin een eigen bestuurlijke verantwoordelijkheid en verantwoorden zich hierover binnen hun eigen democratische en bestuurlijke verantwoordingsprocessen. Daarom is het ook aan de gemeente om te bepalen welke maatregelen nodig zijn om herhaling in de toekomst te voorkomen."

"Incidenten zoals bij de gemeente Epe zijn helaas niet uniek", gaat de staatssecretaris verder. "Vanuit mijn verantwoordelijkheid voor de digitale weerbaarheid voor de overheid zet ik mij in om dergelijke incidenten zoveel mogelijk te voorkomen. Onder meer via de Cyberbeveiligingswet geef ik invulling aan deze verantwoordelijkheid." Verder noemt Van der Burg het positief dat Epe ervoor heeft gekozen om het evaluatierapport openbaar te maken. "Zo kunnen overheidsorganisaties van elkaar leren en versterken we gezamenlijk onze digitale weerbaarheid."

Reacties (12)
Reageer met quote
Vandaag, 10:40 door Anoniem
Sorry hoor maar regelamtige awereness trainingen van je personeel zouden voor 99.99% je click fixes moeten tegen houden. En het 'kraken' van het break glass account? ik vermoed dat daar niet perse het maximale wachtwoord lengte is gebruikt.
Ik weet het: Is speculatie. Ik weet het: Je voorkomt het nooit 100. Maar deze ruikt toch echt meer naar per ongeluk weggegeven dan naar gestolen.
Reageer met quote
Vandaag, 11:29 door Anoniem
Als dit soort datalekken niet uniek zijn, zou ik bij de uitgever van Paspoorten en BSN nummers toch een iets minder nonchalante houding willen zien. Tevens zou diezelfde uitgever eens goed moeten gaan nadenken om getroffenen van diefstal van BSN nummers een nieuw BSN nummer te kunnen verstrekken. Helaas zal dat laatste wel nooit gaan gebeuren want als deze overheid zich er met een Jantje van Leiden van kan afmaken, dan zullen ze dat niet nalaten.
Reageer met quote
Vandaag, 11:31 door Anoniem
Hoe kun je nu digitaal toegangkrijgen tot noodaccount. Een noodaccount is echt voor nood, alleen op andere manier te gebruiken dan "standaard" er was dus geen "glass" om te breken, gewoon een extra account waar beheerders (blijkbaar) automatisch toegang toe hadden. Slecht verhaal tot nu toe.
Reageer met quote
Vandaag, 11:45 door Anoniem
Door Anoniem: Sorry hoor maar regelamtige awereness trainingen van je personeel zouden voor 99.99% je click fixes moeten tegen houden. En het 'kraken' van het break glass account? ik vermoed dat daar niet perse het maximale wachtwoord lengte is gebruikt.
Ik weet het: Is speculatie. Ik weet het: Je voorkomt het nooit 100. Maar deze ruikt toch echt meer naar per ongeluk weggegeven dan naar gestolen.

Je vergeet de open deur (pun inteded):
Dat je "break glass" (nood)account benaderbaar was, en niet op een laptop stond die in een kluis in de serverruimte lag.
Want: break glass account. Waarom was die benaderbaar zonder dat er noodsituatie was?
Reageer met quote
Vandaag, 11:58 door Anoniem
Het is niet uniek,maar het blijft mosterd na de maaltijd.

We leren hoelang al?

Alle gegevens van deze inwoners van de gemeente epe
lag op straat,maar we blijven leren,maar het is nog steeds mosterd na de maaltijd.

Mosterd na de maaltijd geeft altijd stress,en sociale ongerustheid,
en draagt bij aan gezondheidsklachten.

NL2026
Reageer met quote
Vandaag, 12:51 door Anoniem
Als dit soort datalekken helaas niet uniek zijn, dan moet je je afvragen of wat je als adequate beveiliging beschouwt helaas toch niet adequaat is en of wat je als voldoende budget voor AP beschouwt helaas toch niet voldoende is. En dan moet je je ook afvragen of dit beeld zich niet al jaren aan het aftekenen is en of regeren niet vooruitzien is in plaats van achteraf constateren.
Reageer met quote
Vandaag, 12:52 door Anoniem
Door Anoniem:
Door Anoniem: Sorry hoor maar regelamtige awereness trainingen van je personeel zouden voor 99.99% je click fixes moeten tegen houden. En het 'kraken' van het break glass account? ik vermoed dat daar niet perse het maximale wachtwoord lengte is gebruikt.
Ik weet het: Is speculatie. Ik weet het: Je voorkomt het nooit 100. Maar deze ruikt toch echt meer naar per ongeluk weggegeven dan naar gestolen.

Je vergeet de open deur (pun inteded):
Dat je "break glass" (nood)account benaderbaar was, en niet op een laptop stond die in een kluis in de serverruimte lag.
Want: break glass account. Waarom was die benaderbaar zonder dat er noodsituatie was?
Hoe bedoel je? Je break glass account moet altijd benaderbaar zijn. Hij zou nooit gebruikt moeten worden behalve wanneer er een noodsituatie is, maar dat los je idealiter op met een supercomplex wachtwoord wat alleen op een veilige plek opgeslagen is, en monitoring die er voor zorgt dat alle alarmbellen afgaan wanneer het break glass account gebruikt wordt.

Het break glass account onbenaderbaar maken klinkt een beetje als "de sleutel voor het brandalarm kunt u bij de receptie halen, maar die zijn nu aan het lunchen meneer".

In dit specifieke geval ging er duidelijk iets fout, want dit mag echt niet. Maar het benaderbaar zijn van het account is niet wat er fout ging.
Reageer met quote
Vandaag, 13:51 door Anoniem
Door Anoniem: Sorry hoor maar regelamtige awereness trainingen van je personeel zouden voor 99.99% je click fixes moeten tegen houden. En het 'kraken' van het break glass account? ik vermoed dat daar niet perse het maximale wachtwoord lengte is gebruikt.
Ik weet het: Is speculatie. Ik weet het: Je voorkomt het nooit 100. Maar deze ruikt toch echt meer naar per ongeluk weggegeven dan naar gestolen.

Bij de gemiddelde phishing mail training trapt circa 12-15% er in.
Reageer met quote
Vandaag, 14:14 door Anoniem
Nee, natuurlijk zijn die niet uniek. De overheid prutst maar wat aan. NATUURLIJK gaat dat op meerdere plekken fout.
Maakt niet uit, het zijn maar machteloze burgers. De prutsers worden gewoon betaald. De minister wordt gewoon betaald. En de slachtoffers? Die hebben gewoon pech. Over naar de orde van de dag.
Reageer met quote
Vandaag, 14:54 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Sorry hoor maar regelamtige awereness trainingen van je personeel zouden voor 99.99% je click fixes moeten tegen houden. En het 'kraken' van het break glass account? ik vermoed dat daar niet perse het maximale wachtwoord lengte is gebruikt.
Ik weet het: Is speculatie. Ik weet het: Je voorkomt het nooit 100. Maar deze ruikt toch echt meer naar per ongeluk weggegeven dan naar gestolen.

Je vergeet de open deur (pun inteded):
Dat je "break glass" (nood)account benaderbaar was, en niet op een laptop stond die in een kluis in de serverruimte lag.
Want: break glass account. Waarom was die benaderbaar zonder dat er noodsituatie was?
Hoe bedoel je? Je break glass account moet altijd benaderbaar zijn. Hij zou nooit gebruikt moeten worden behalve wanneer er een noodsituatie is, maar dat los je idealiter op met een supercomplex wachtwoord wat alleen op een veilige plek opgeslagen is, en monitoring die er voor zorgt dat alle alarmbellen afgaan wanneer het break glass account gebruikt wordt.

Het break glass account onbenaderbaar maken klinkt een beetje als "de sleutel voor het brandalarm kunt u bij de receptie halen, maar die zijn nu aan het lunchen meneer".

In dit specifieke geval ging er duidelijk iets fout, want dit mag echt niet. Maar het benaderbaar zijn van het account is niet wat er fout ging.

In een noodsitiatie rijdt je met de bus, fiets of auto naar het gemeentehuis (of de failover locatie). Gaat met je toegangspas het gebouw in (zo nodig buiten kantoortijd, nadat je met de meldkamer van de bewakingsdienst gebeld hebt).
In het gebouw ga je de serverruimte binnen (met een sleutel en/of picode).
Opent de kluis in die serverruimte.
Pakt de speciale laptop eruit.
Koppelt die aan een switch in de serverruimte.
Logt op de laptop in. Start de beheer software, en gebruikt het noodaccount dat alleen van die laptop gestart kan worden. (met MfA) Of je benadert de apparatuur rechtstreeks met de laptop.
Maar bij voorkeur zou ik deze oplossing alleen gebruiken om mijn eigen beheeraccount te resetten.

Het zijn een paar stapjes, maar dan heb je ook wat.
Het is namelijk voor een specifiek noodgeval: Als niemand bij systeembeheer zijn EIGEN account nog kan gebruiken en een ACHTERDEUR nodig is.
Dan mag het best wat moeite en tijd kosten. (Al was het maar om het af te leren)


Hoe zwaar je dat wachtwoord wilt maken, is jouw keus.
Maar met voldoende zware rekenkracht is elk wachtwoord tzt te kraken. Daar zou ik me niet blind op willen staren.
Dan pas ik liever wat extra fysieke hindernissen en maatregelen toe.
Reageer met quote
Vandaag, 15:10 door Anoniem
"Helaas pindakaas". Aldus onze staatssecretaris/regering.
Tja, als er dan een keer iets vervelends gaat gebeuren voor de regering of één van deze clowns, dan zal mijn reactie ook zijn: "Helaas pindakaas."
Reageer met quote
Vandaag, 16:09 door Anoniem
Door Anoniem: "Helaas pindakaas". Aldus onze staatssecretaris/regering.
Tja, als er dan een keer iets vervelends gaat gebeuren voor de regering of één van deze clowns, dan zal mijn reactie ook zijn: "Helaas pindakaas."
Daar liggen ze echt niet wakker van. Zie toeslag affaire.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Vacature Digital Designer Certified Secure
Certified Secure GenAI Deep Dive Security Training