De Dienst Justitiële Inrichtingen kampt met de gevolgen van een ernstig cyberincident dat mogelijk nog altijd voortduurt. Daarbij zijn gevoelige systemen en gegevens van medewerkers in gevaar gekomen.
Dit meldt het journalistieke platform Argos, dat onderzoek deed naar het incident. Digitale indringers zouden zeker vijf maanden toegang hebben gehad tot interne systemen en via een kwetsbaarheid volledige controle hebben kunnen krijgen over mobiele apparaten van medewerkers. Het is volgens de onderzoekers niet uit te sluiten dat die toegang nog steeds bestaat.
Op 12 februari bracht Dienst Justitiële Inrichtingen (DJI) medewerkers via een interne briefing op de hoogte van wat toen werd aangeduid als een datalek en cyberincident. In die boodschap gaf de organisatie aan dat eerdere aannames over de veiligheid van de eigen data niet langer houdbaar waren. Onderzoek door een externe, gespecialiseerde partij wees uit dat ook DJI daadwerkelijk is getroffen.
Bij het incident zijn onder meer zakelijke e mailadressen, telefoonnummers en beveiligingscertificaten van medewerkers buitgemaakt. Het gaat om gegevens van gebruikers van mobiele telefoons, laptops en tablets die centraal door de organisatie worden beheerd. DJI heeft aangekondigd hiervan melding te doen bij de Autoriteit Persoonsgegevens. Het datalek is extra gevoelig vanwege de aard van het werk van DJI medewerkers, die door hun functie een verhoogd risico lopen op bedreiging en chantage.
Voormalig gevangenisdirecteur Klaas Brandsma spreekt van een zorgwekkende situatie. Hij wijst erop dat leidinggevenden en afdelingshoofden binnen justitiële inrichtingen regelmatig besluiten nemen die bij gedetineerden tot onvrede leiden. Volgens Brandsma vergroot de beschikbaarheid van directe contactgegevens de kans op intimidatie, wat gevolgen kan hebben voor de persoonlijke veiligheid van medewerkers.
Vrees voor misbruik van locatiegegevens medewerkers
Nog onduidelijk is of ook locatiegegevens van mobiele apparaten toegankelijk zijn geweest voor de aanvallers. Deze informatie wordt normaal gesproken opgeslagen in dezelfde database die is gecompromitteerd. DJI heeft medewerkers inmiddels geadviseerd om het delen van locatiegegevens op hun apparaten uit te schakelen.
De aanval vond plaats via een kwetsbaarheid in Ivanti Endpoint Manager Mobile. Dit is software die wordt gebruikt om mobiele apparaten centraal te beheren en te beveiligen. Met deze software kunnen organisaties updates uitrollen en apparaten op afstand beheren of wissen. Het Nationaal Cyber Security Centrum waarschuwde eerder dat misbruik van deze kwetsbaarheid verder gaat dan het stelen van data. Aanvallers kunnen ongeauthentiseerd eigen code uitvoeren. En vervolgens de controle over systemen en aangesloten apparaten overnemen.
Hoewel de kwetsbaarheid inmiddels met een update kan worden verholpen, betekent dit niet automatisch dat het gevaar is geweken. Het NCSC benadrukt dat aanvallers na binnendringen achterdeurtjes kunnen hebben geplaatst. In dat geval behouden zij toegang tot systemen. Dus ook nadat de oorspronkelijke kwetsbaarheid is gedicht, en kunnen zij apparaten op afstand blijven aansturen of gegevens blijven verzamelen.
Volgens cybersecurityexpert Frank Breedijk is dat een bekend maar hardnekkig probleem bij dit soort incidenten. Zodra een systeem eenmaal is gecompromitteerd, is volgens hem niet meer met zekerheid vast te stellen of het volledig vrij is van aanvallers. In de praktijk resteert dan slechts één optie, namelijk alles wissen en systemen volledig opnieuw installeren en inrichten.
DJI is niet de enige organisatie die door deze kwetsbaarheid is geraakt. Eerder werd via een Kamerbrief bekend dat ook de Autoriteit Persoonsgegevens en de Raad voor de Rechtspraak te maken hebben gehad met een datalek via Ivanti Endpoint Manager Mobile. DJI bevestigt dat het slachtoffer is geworden van het lek en laat weten dat de exacte oorzaak en omvang van het incident nog worden onderzocht.