De politie is kwetsbaar voor ransomware-aanvallen. Het korps investeert sinds 2021 in nieuwe securitymaatregelen, maar heeft nog steeds geen manier om na een ransomware-aanval te herstellen. Dat blijkt uit een kamerbrief van Dilan Yesilgöz, de verantwoordelijke minister van Justitie en Veiligheid.

Nederlandse bedrijven en overheidsinstanties zijn wettelijk veprlicht om securitymaatregelen te treffen. De regels verschillen per bedrijf en instantie. De politie moet sinds 2017 aan de ‘Regeling informatiebeveiliging politie‘ voldoen.

De korpschef, het landelijke hoofd van de politie, bepaalde een beleid. Het beleid behandelt de systemen en leveranciers waar de politie mee werkt, evenals securityrisico’s en maatregelen. Het beleid hoort ervoor te zorgen dat de politie is opgewassen tegen aanvallen en datalekken. Dat blijkt niet het geval.

Op dit moment zijn de IT-systemen van de politie in staat om de meeste aanvallers tegen te gaan. In het jaarverslag van 2021 deelde de politie dat meerdere aanvallers probeerden in te breken, maar niemand succesvol binnenkwam. Dit betekent echter niet dat de systemen veilig zijn. Uit een nieuwe kamerbrief (IV Rapportage) van minister Dilan Yesilgöz (Justitie en Veiligheid) blijkt dat de politie geen waterdicht back-upplan heeft.

Wat betekent dat?

Krijgt een ransomware-aanvaller toegang tot de systemen, dan is de politie niet in staat om de schade terug te draaien. Het gebrek is logisch, want zoals eerdergenoemd werd het beleid in 2017 opgesteld. Ook toen was er sprake van ransomware, maar niet op de schaal van nu. Het aantal aanvallen is gigantisch gestegen. Security draait vandaag de dag om preventie én reactie. De politie is goed in het eerste, maar het laatste ontbreekt.

De organisatie lijkt zich bewust van het probleem. In 2021 zette de politie een cybersecurityprogramma (CSP) op om de maatregelen te versterken. “Er zijn een aantal mooie resultaten geboekt”, verklaarde de organisatie in het jaarverslag, zonder in te gaan op de details. De nieuwe kamerbrief van minister Dilan Yesilgöz vertelt een ander verhaal. “Er zijn weliswaar aanzienlijke slagen gemaakt in de verbetering van de cybersecurity, maar er moet nog steeds het nodige worden verbeterd.”

De minister benadrukte dat het nog jaren kan duren voordat de politie met een structureel back-upsysteem werkt. De eerste stappen werden in 2021 gezet, “maar een structurele back-upvoorziening vergt een meerjarige doorlooptijd”.

Tip: Zwak beleid veroorzaakt cyberaanval op gemeente Buren