ID-ware levert de zogeheten Rijkspas, de toegangspas voor Kamergebouwen en rijkspanden. Ransomware-groep ALPHV brak in op servers van het bedrijf en maakte gegevens van buit van rijksambtenaren.

Er gaat tegenwoordig geen week meer voorbij zonder nieuws rondom een ransomware-aanval. Eerder deze week publiceerden we nog een uitgebreid artikel over een dergelijke aanval. Vandaag bereikte ons het nieuws dat de overheid nu (weer) aan de beurt is. Dat wil zeggen, het gaat om een hack bij een toeleverancier van de overheid. In dit geval is het ID-ware. Dit Duitse bedrijf (met een dochteronderneming in Nederland) levert de diensten rondom de Rijkspas. Met deze pas kunnen medewerkers overheidspanden binnenkomen.

Timeline van de aanval

In een brief van staatssecretaris van Binnenlandse Zaken en Koninkrijkrelaties Alexandra van Huffelen aan de kamer staat een ruwe timeline van de gebeurtenissen. ID-ware meldde op 21 september 2022 dat het slachtoffer was geworden van een ransomware-aanval. Iets meer dan een week later, op 29 september, deelde het de eerste resultaten van een onderzoek naar de aanval. Daarbij werd ook onderzocht wat de impact van de aanval was op de overheidsdata die het bedrijf beheert.

Wanneer de daadwerkelijke aanval zelf echt heeft plaatsgevonden, is niet duidelijk. ID-ware deed de melding op 21 september, maar dat betekent niet dat de aanval ook op die dag plaatsgevonden heeft. Wel is duidelijk dat ID-ware via een back-up de gegevens snel heeft kunnen herstellen.

Privé-gegevens van bijna 3500 rijksambtenaren

Een van de resultaten van het onderzoek, uitgevoerd door een niet nader genoemd securitybedrijf, is dat er data is buitgemaakt van bijna 3500 rijksambtenaren. Het gaat hierbij om data van fileservers van ID-ware die werden gebruikt voor de thuisbezorgservice van de Rijkspas. Dat wil zeggen dat het gaat om naam, rijkspasnummer en de paraaf die op de pas staat. Of dit alles is, kan de staatssecretaris op dit moment nog niet zeggen. Het onderzoek loopt nog.

Goed nieuws vooralsnog is dat de fileservers die ID-ware gebruikt voor de uitgifte van de Rijkspas niet geraakt zijn door de ransomware-aanval. Dat houdt in dat de criminelen niet bij de servers konden waarmee ze zelf dergelijke passen aan zouden kunnen maken. Met andere woorden, de verwachting is dat er nu niet plots allerlei nieuwe passen uitgegeven worden. Van Huffelen benadrukt verder nog dat er bij ID-ware geen sleutelmateriaal aanwezig is. Het is dus sowieso niet mogelijk om vanuit dat bedrijf volledig functionerende passen te versturen.

Impact

De impact van de de ransomware-aanval op ID-ware lijkt vooralsnog beperkt. Dat wil zeggen, de overheidsgebouwen zijn in principe veilig. ID-ware heeft zijn zaakjes op het eerste gezicht ook redelijk op orde. Het heeft in ieder geval een ogenschijnlijk goede segmentatie tussen servers voor de thuisbezorgservice en die voor het aanmaken van passen. Het helpt daarbij ook dat het zelf het materiaal niet heeft om de passen te maken.

Wat wij ons wel afvragen bij deze ransomware-aanval, is waarom ID-ware de gegevens van rijksambtenaren zolang bewaart op de servers voor de thuisbezorgservice. Dat lijkt ons in principe niet echt nodig. Althans, als een pas eenmaal verstuurt is, kan die data op zich wel gewist worden. Een nieuwe pas versturen bij verlies is dan wellicht iets lastiger, maar je bewaart dan geen data die je niet per se hoeft te bewaren.

Wordt ongetwijfeld nog vervolgd, aangezien het onderzoek nog loopt.