De Justitiële ICT Organisatie (JIO), die de IT-systemen beheert voor onder meer het ministerie van Justitie en Veiligheid, is het afgelopen jaar twee keer gehackt. Ondanks interne waarschuwingen om systemen offline te halen, besloot de organisatie dit niet te doen. Een belangrijke reden was onzekerheid over het functioneren van elektronische enkelbanden van gedetineerden.
Dat blijkt uit onderzoek van het radioprogramma Argos. Volgens betrokkenen en cybersecurityexperts gaat het om een zeer ernstige situatie. Door de inbraken konden aanvallers mogelijk toegang krijgen tot systemen van verschillende justitiële organisaties, waaronder de Dienst Justitiële Inrichtingen (DJI) en de Dienst Terugkeer en Vertrek.
Een van de incidenten vond plaats via een kwetsbaarheid in Citrix-software voor thuiswerken. Via datzelfde lek werden in 2025 ook systemen van het Openbaar Ministerie (OM) gecompromitteerd. Het OM besloot destijds zijn systemen volledig offline te halen, wat leidde tot grote verstoringen in de strafrechtketen.
De JIO koos echter voor een andere aanpak. Hoewel de organisatie bevestigt dat er sprake was van een inbreuk op de Citrix-omgeving, bleven de systemen online. Volgens bronnen was het onduidelijk welke operationele gevolgen het loskoppelen van systemen van internet zou hebben. Daarbij speelde vooral de vraag of het toezicht op enkelbanden nog zou functioneren.
Twee weken geleden meldden we al een andere hack bij justitiële systemen. Daarbij kregen aanvallers via een kwetsbaarheid in Ivanti-software toegang tot systemen van de Dienst Justitiële Inrichtingen. Volgens het onderzoek hadden hackers daar maandenlang toegang. Het nieuwe onderzoek van Argos laat zien dat er daarnaast ook een tweede, afzonderlijke cyberincident heeft plaatsgevonden binnen de infrastructuur van de Justitiële ICT Organisatie.
Configuratiefout verzwakte interne beveiliging
Uit documenten en verklaringen van betrokkenen blijkt dat de interne beveiliging mogelijk tekortschiet. Zo zou een configuratiefout ervoor hebben gezorgd dat een interne firewall in de praktijk nauwelijks bescherming bood. Daardoor konden indringers zich mogelijk verder binnen de netwerken van justitiële organisaties bewegen.
Daarnaast zou monitoring van netwerkactiviteiten beperkt hebben gewerkt, waardoor onduidelijk is hoe ver de aanvallers zijn doorgedrongen. De JIO spreekt dit tegen en stelt dat logging en monitoring wel correct functioneerden. Wel erkent de organisatie dat interne firewalls “meer verkeer doorlieten dan strikt noodzakelijk”.
De impact van de hack kan aanzienlijk zijn. De JIO beheert IT-infrastructuur voor meerdere overheidsinstanties, waaronder de Autoriteit Persoonsgegevens en de Raad voor de Kinderbescherming. Cybersecurityonderzoekers waarschuwen dat wanneer een interne firewall onvoldoende functioneert, aanvallers relatief eenvoudig toegang kunnen proberen te krijgen tot achterliggende systemen.
Kort na ontdekking van de hack werd beveiligingsbedrijf Fox-IT ingeschakeld voor forensisch onderzoek. De resultaten daarvan worden echter niet met de Tweede Kamer gedeeld. Volgens de JIO gebeurt dat om veiligheidsredenen.
Het incident roept vragen op over de beveiliging van kritieke overheids-IT en over de manier waarop organisaties omgaan met cyberincidenten. Opvallend is dat de toenmalige minister van Justitie en Veiligheid in een Kamerbrief in 2025 nog meldde dat er geen aanwijzingen waren dat de kwetsbaarheid in de Citrix-omgeving daadwerkelijk was misbruikt.
Ondertussen is ook de algemeen directeur van de JIO, Marcel Hoogland, eind februari vertrokken. De organisatie wil niet zeggen of zijn vertrek verband houdt met de cyberincidenten.