Het Nationaal Cyber Security Centrum (NCSC) heeft zonder wettelijke basis informatie over besmette FortiGate-systemen in de Coathanger-zaak gedeeld met andere landen. Omdat hierbij mogelijk persoonlijke gegevens zijn verstrekt, is melding gemaakt van een datalek bij de Autoriteit Persoonsgegevens (AP). Dit meldt minister Van Weel (VVD) van Justitie en Veiligheid in een recente Kamerbrief.
Volgens de brief aan de Tweede Kamer heeft het NCSC bewust informatie gedeeld over besmette Fortinet FortiGate-systemen met andere landen, zonder dat hiervoor een wettelijke basis was. Het betrof informatie over Nederlandse FortiGate-systemen die door een ‘Chinese statelijke actor’ waren gecompromitteerd. De gegevens werden gedeeld met de Verenigde Staten, het Verenigd Koninkrijk, Canada en Japan.
Het ging hierbij over de zogenoemde ‘Coathanger’-zaak, waarbij Chinese staatshackers toegang kregen tot een losstaand netwerk van het Ministerie van Defensie. De gebruikte malware zocht naar beveiligingslekken in de FortiGate-systemen van securityspecialist Fortinet. De Chinezen kregen in 2022 en 2023 wereldwijd toegang tot ten minste 20.000 FortiGate-systemen.
Ernst hack maakte delen mogelijk
In de brief geeft minister Van Weel aan dat de ernst van de Chinese cyberspionagecampagne het noodzakelijk maakte om toch data te delen met buitenlandse collega’s. Pas later bleek dat hiervoor geen wettelijke basis bestond.
Volgens de wet mag het NCSC alleen data delen met vitale bedrijven en de overheid in Nederland. Daarnaast mogen gegevens worden uitgewisseld met de CSIRT’s van EU-lidstaten en met inlichtingen- en veiligheidsdiensten, wat in dit geval ook is gebeurd. Voor landen buiten de EU, die nu blijkbaar toch gegevens hebben ontvangen, is dit wettelijk niet toegestaan.
De gedeelde data bestonden uit lijsten, opgesteld door de MIVD, met mogelijk door hackers gecompromitteerde IP-adressen per individueel land. Omdat hierbij mogelijk ook persoonlijke gegevens zijn gedeeld, heeft het NCSC melding gedaan van een mogelijk datalek bij toezichthouder AP.
Wel maatregelen
Naar aanleiding van het onrechtmatig delen van data met landen buiten de EU heeft minister Van Weel maatregelen aangekondigd om herhaling te voorkomen. Zo zijn er binnen het NCSC extra waarborgen ingebouwd om te zorgen dat de juiste procedures worden gevolgd. Dit omvat het aanscherpen van technische en organisatorische maatregelen. Ook is het proces voor informatiedeling verder verbeterd en worden medewerkers beter opgeleid om het kader rondom informatiedeling voortdurend op peil te houden.
Op technisch vlak worden maatregelen genomen zoals het verbeteren van de geautomatiseerde registratie van feitelijke handelingen, het verbeteren van de vastlegging van besluitvorming en het verder structureren van de overdracht van cases tussen verschillende functionarissen.
De minister verwacht wel dat het ingaan van de NIS2-richtlijn het wettelijke kader waarbinnen het NCSC opereert binnenkort zal veranderen. Binnen deze EU-richtlijn krijgen lidstaten meer mogelijkheden om (cybersecurity)gegevens te delen met landen buiten de EU.
Lees ook: MIVD: Chinese cyberspionage veel omvangrijker dan gedacht