Criminelen hebben vorig jaar WhatsApp-accounts van zowel Eerste als Tweede Kamerleden en ambtenaren van ministeries overgenomen. Ook is de informatiebeveiliging bij veel overheidsorganisaties nog niet op orde, concludeert de Algemene Rekenkamer.
Er zijn WhatsApp-accounts overgenomen van ten minste vijf Tweede Kamerleden, een Eerste Kamerlid, topambtenaren van het ministerie van Economische Zaken en Klimaat en verschillende medewerkers van bijna alle ministeries. De Algemene Rekenkamer concludeert dat in zijn verantwoordingsonderzoek. Volgens het rapport ging het de hackers in deze gevallen om geld, maar is het denkbaar dat het ook om informatie had kunnen gaan.
In het rapport schetst de Algemene Rekenkamer welke methode criminelen gebruiken om toegang te krijgen tot WhatsApp-accounts van ambtenaren. Het gaat om de manier waarbij een aanvaller zich met het telefoonnummer van het slachtoffer aanmeldt bij WhatsApp en vervolgens de verificatiecode probeert te achterhalen door zich voor te doen als een bekende.
WhatsApp wordt door de overheid ontraden voor zakelijk gebruik en er mag geen gevoelige informatie mee gedeeld worden. Toch gebruiken veel ambtenaren de chatapp, niet alleen privé, maar soms ook voor werk, concludeert de Algemene Rekenkamer. Ict-helpdesks van de overheid bieden geen ondersteuning voor WhatsApp. Volgens de instantie is een nadeel daarvan dat niet alle overnames van accounts en pogingen daartoe worden gemeld.
Informatiebeveiliging niet op orde
Volgens de Algemene Rekenkamer hebben elf van de achttien onderzochte organisaties hun informatiebeveiliging nog niet op orde en is er over de hele linie geen verbetering ten opzichte van 2019. Het massale thuiswerken in 2020 bracht ook nieuwe risico's met zich mee.
Wel staat in het rapport dat er in de afgelopen jaren vooruitgang is geboekt. Vrijwel alle organisaties die in 2019 hun informatiebeveiliging niet op orde hadden, hebben hier in 2020 werk van gemaakt. Dat heeft echter nog niet genoeg opgeleverd om de risico's 'voldoende te beheersen'. De Algemene Rekenkamer concludeert overigens dat dit ook geldt voor de eigen informatiebeveiliging.
Potentieel datalek ministerie van Buitenlandse Zaken
Bij het ministerie van Buitenlandse Zaken was als gevolg van de gebrekkige informatiebeveiliging misschien sprake van een datalek. De Algemene Rekenkamer stuitte tijdens onderzoek naar repatriëring van in het buitenland gestrande reizigers op lijsten met namen, adressen, geboortedata, telefoonnummers, bank- en verzekeringsgegevens van achttienduizend personen.
Alle medewerkers met een account van het ministerie van Buitenlandse Zaken konden bij die gegevens, in plaats van een klein aantal gemachtigden. Dat datalek is gedicht en volgens aanvullend onderzoek zou gebleken zijn dat alleen bevoegden de informatie hadden geraadpleegd.
Naar aanleiding van het potentiële lek is verder onderzoek gedaan naar informatiebeveiliging op het ministerie en daaruit bleek dat de toegang tot vertrouwelijke stukken niet goed was afgeschermd. Zoeken met trefwoorden als 'privé' leverde vertrouwelijke stukken op, waaronder notulen van besloten vergaderingen, en een overzicht van gebruikersnamen en inlogcodes voor de sociale media van een ambassade.