De hack, waarbij e-mailgegevens, namen, functietitels en telefoonnummers van politiemedewerkers zijn buitgemaakt, is waarschijnlijk het werk van een ‘statelijke actor’. Daarbij zijn ook data van ketenpartners van de politie in verkeerde handen gekomen.
Dat schrijft minister van Justitie en Veiligheid, David van Weel, in een Kamerbrief. In die update die 2 oktober naar de Tweede Kamer is gestuurd, staat dat de AIVD en MIVD de politie geïnformeerd hebben over het cyberincident en zij het ‘zeer waarschijnlijk achten’ dat een statelijke actor verantwoordelijk is. Om welk land het gaat, blijft in het midden.
Van Weel bevestigt eerdere speculaties over het hacken van Outlook-gegevens. ‘Het lijkt te gaan om de global address list met daarin Outlook-visitekaartjes, waarin namen, e-mailadressen en telefoonnummers en in enkele gevallen ook privégegevens te vinden zijn. Ook zijn er e-mailadressen van een aantal ketenpartners buitgemaakt’, staat in de brief.
De minister noemt waarschijnlijk uit veiligheidsoverwegingen niet om welke ketenpartners het gaat. Wel meldt hij dat die partijen op de hoogte zijn gebracht en dat er nader onderzoek plaatsvindt. Bekende ketenpartners van de politie zijn het Openbaar Ministerie, advocaten, de reclassering en slachtofferhulp.
Veel zorgen in organisatie
Uit de update over het datalek blijkt dat de hack dus groter is dan eerder gemeld. Vrijdag 27 september kwam naar buiten dat de politie slachtoffer was geworden van een inbreuk waarbij gegevens van alle ruim 62.000 medewerkers zijn buitgemaakt. In enkele gevallen zou het ook gaan om privé-nummers en medewerkers waarvoor geheimhouding van die gegevens cruciaal is in verband met het werk dat zij doen. Korpschef Janny Knol schrijft in een bericht op de website van de politie dat ze de afgelopen dagen veel collega’s gesproken heeft, die zich zorgen maken. Ook is een meldpunt geopend waar medewerkers met vragen kunnen aankloppen. ‘Om de daders niet wijzer te maken en verder onderzoek niet te schaden, kan op dit moment niet meer verteld worden’, schrijft ze.
Tweefactor-authenticatie
In een pdf-document met vragen en antwoorden over de hack wijst de politie zijn medewerkers op het belang van het gebruik van sterke wachtwoorden. Ook wordt het politiepersoneel gevraagd extra alert te zijn op phishing-mails of verdachte berichten en telefoontjes. Als ‘ict-maatregel’ wordt genoemd dat de politie ‘nog vaker dan gebruikelijk’ medewerkers zal vragen om in te loggen met tweefactor-identificatie.
Zoals bekend kan je met Microsoft 365 of Outlook elektronische visitekaartjes met zakelijke of persoonlijke gegevens maken en via je e-mailhandtekening uit wisselen. Dat doe je met personen en partijen die je vertrouwd. Je kan er aardig wat contactgegevens mee opslaan. Het visitekaartjes heeft een deels vrij formaat; handig. Maar wat als deze handige gegevens gestolen worden bij jou of een ander? Was daar over nagedacht toen er tactische- en privégegevens opgeslagen werden? Ik vraag me af hoe het beleid bij de politie en haar ketenpartners is.
“Als ‘ict-maatregel’ wordt genoemd dat de politie ‘nog vaker dan gebruikelijk’ medewerkers zal vragen om in te loggen met tweefactor-identificatie.” Dat klinkt goed, maar waarom niet standaard tweefactor-identificatie, vraag ik me af?
Ik vraag me ook af hoe het bij de politie met het domeinnaambeheer is gesteld. Door reorganisaties kunnen oude politiedomeinnamen vrij komen. Hoe is dat beleid?
Een mogelijke ‘statelijke actor’ heeft aan de meeste gegevens niet zoveel. Maar als het land achter die statelijke actor vervelend wil doen (en die landen heb je), dan kan dat land de gegevens laten verspreiden. Criminele bendes hebben veel aan die gegevens, zeker als ook gegevens van de staande en zittende magistratuur daar bij zitten. Dan wil men er ook voor betalen.
Waarschijnlijk is juridisch niet erg sterk, de politie moet met betere argumenten komen voordat ze met een vinger gaan wijzen want excuus van statelijk actoren en je beveiliging niet op orde hebben wekt geen vertrouwen. Microsoft kent tenslotte vele beveiligingsgaten waardoor de prangende vraag om het gestelde vertrouwen gaat. Ik herinner me namelijk nog de klokkenluiders die wezen op post-it met wachtwoorden want als ik naar een oproep over basishygiëne in de beveiliging kijk dan kan ik me voorstellen dat iemand toegang heeft gekregen tot de AD en de global address list. Moskou of Marokko door een gebrek in de basishygiëne van beveiliging gaat niet om zo’n 65.000 licenties van gebruikers maar om het vertrouwen van zo’n 18 miljoen burgers in een publieke dienstverlening.