Ict-leverancier ontkent dat gegevens van Kamerleden zijn gestolen bij aanval

Ict-bedrijf ID-Ware weerspreekt staatssecretaris Van Huffelens claim dat persoonsgegevens van Nederlandse politici en Kamermedewerkers op straat liggen. De staatssecretaris schreef dat gisteren in een Kamerbrief na een bericht in de Volkskrant, maar het bedrijf zegt nu dat er geen aanwijzingen zijn van een datalek.

ID-Ware geeft in een update meer informatie over een recente cyberaanval. Het bedrijf regelt de toegangspassen en -systemen voor de Nederlandse parlementaire gebouwen van de Eerste en Tweede Kamer. Op vrijdag schreef de Volkskrant dat persoonsgegevens van 3500 personen die werken bij ministeries en andere overheidsinstellingen op het darkweb werden aangeboden. Die zouden online zijn gezet nadat het bedrijf door ransomware was getroffen.

ID-Ware bevestigt in de update dat het inderdaad door ransomware is getroffen. Het bedrijf schrijft daarnaast ook dat het geen informatie wil geven over individuele klanten, maar zegt wel dat 'het onderzoek tot nu toe geen bewijs laat zien dat leden van het Nederlandse parlement of andere publieke personen zijn getroffen door een datalek'. Ook schrijft ID-Ware dat er bij de hack geen data is buitgemaakt waarmee aanvallers toegang kunnen krijgen tot overheidsgebouwen. "ID-Ware bezit de gegevens niet die nodig zijn voor dat doel."

De verklaring is opvallend, omdat het direct staatssecretaris Alexandra van Huffelen van Digitalisering tegenspreekt. Die schreef gisteren in een Kamerbrief: "Tot nu toe is bekend dat van bijna 3500 medewerkers van Rijksoverheid naam, rijkspasnummer en paraaf is gelekt vanuit de thuisbezorgservice van de kaart." De staatssecretaris schreef daarnaast wel dat de databaseservers van ID-Ware die worden gebruikt bij het uitgeven van rijkspassen niet geraakt waren door de aanval. "Of er gegevens van rijkspasgebruikers staan op de fileservers die wel geraakt zijn wordt onderzocht", schreef Van Huffelen.

Reacties (55)

pmeter

8 oktober 2022 10:41

In het artikel uit de Volkskrant staat dat grote hoeveelheden data van ID-ware zijn gestolen en online zijn gezet. Uit de context maak ik op dat die op het darkweb staan.

Hoe kan er discussie zijn over de vraag of er iets is gestolen als je op het darkweb kunt zien dat en wat (althans example data met een prijskaartje voor alles) er is gestolen?

Ik heb zelf niet gekeken, omdat ik het darkweb niet aandurf.

Sluuut @pmeter • 8 oktober 2022 11:07

Soms word er data aangeboden die (gedeeltelijk) vals is. En wie zegt dat die data van dit lek afkomt, die kans is natuurlijk wel groot maar nog niet bewezen.

Dus even afwachten tot de conclusies zijn gemaakt. Aan de andere kant is 1+1 altijd 2, dus ik ga er persoonlijk vanuit dat deze data wel gelekt is maar dat ze er nog niet achter zijn hoe.

TheVivaldi @Sluuut • 8 oktober 2022 13:00

Soms word er data aangeboden die (gedeeltelijk) vals is. En wie zegt dat die data van dit lek afkomt, die kans is natuurlijk wel groot maar nog niet bewezen.

Dat is waar, maar aan de andere kant is het wel de staatssecretaris die deze onthulling heeft gedaan. Dat is toch wel zo'n beetje de belangrijkste persoon (buiten het bedrijf zelf dan). Ik mag toch aannemen dat zo'n belangrijk iemand van de regering niet zomaar wat zegt.

latka @TheVivaldi • 8 oktober 2022 13:58

De overheid/kabinet heeft de afgelopen jaren zoveel geroepen of verzuimt om te zeggen dat ik niet in die redenatie mee kan gaan.

karma4 @TheVivaldi • 8 oktober 2022 16:25

Een belangrijk persoon krijgt aangereikt wat hij moet zeggen.
Het zal de gewenste uiting vanuit een andere laag zijn. Gezien de polarisatie en activisme met het uit de wind houden en toch weer niet, durf ik niet meer te zeggen wat waar is bij politici.

TheVivaldi @karma4 • 8 oktober 2022 16:45

Oké, dan heeft ze het aangereikt gekregen. Neemt niet weg dat een uitspraak van die bestuurslaag wel als hartstikke belangrijk wordt gezien, dus dan mag je doorgaans toch aannemen dat het goed is uitgezocht. Onze regering is niet top, maar we hebben geen Trump en dito vrienden daar zitten die alles roepen wat in ze opkomt of de roddels die ze in de gang hebben gehoord... Dus tot het tegendeel bewezen is (en daarvoor is een enkele uitspraak van het bedrijf in kwestie onvoldoende), ga ik er vanuit dat de bewering niet uit de lucht is komen vallen.

[Reactie gewijzigd door TheVivaldi op 26 juli 2024 16:44]

karma4 @TheVivaldi • 9 oktober 2022 07:03

Gezien politici tegenwoordig de kamervragen opstellen aan de hand van media ophef moet je ernstig twijfelen aan de aanname dat we niet de trump aanpak met ditto vrienden hier in NL hebben.

Een eenvoudig tegenbewijs vals te leveren.
Kamerleden zijn gekozen met naam en toenaam en daarbij komt het recht om in de kamer aanwezig te zijn. Dat met naam toenaam en een foto zal op de rijkspas staan, zie https://nl.wikipedia.org/wiki/Rijkspas.
De kamerleden zijn al publiekelijk bekend, heel vreemd om zo'n lijst van wat bekend is als een datalek neer te zetten omdat het onbekend en geheim zou zijn. Ergo het is niet goed uitgezocht.

bzuidgeest @TheVivaldi • 10 oktober 2022 09:33

Ik denk dat je aanname fout is. Ieder artikel zegt dat de staatssecretaris zijn claims legt op basis van een artikel in de Volkskrant. Een artikel geschreven voor hype, gemaakt door een ongetwijfeld digibeet journalist. Niet echt een betrouwbare bron. Dat gezegd, we horen wel wie van de twee gelijk heeft. Kan alle kanten op.

En en voor ik het vergeet. Voor zo een post zijn politieke capaciteiten en stemmen nodig. Geen enkele andere competentie is vereist.

TheVivaldi @bzuidgeest • 10 oktober 2022 11:15

Dat is een van de weinige keren dat ik hoor dat de Volkskrant niet betrouwbaar is. Normaliter wordt die krant juist gezien als een van de betrouwbaarste.

bzuidgeest @TheVivaldi • 10 oktober 2022 12:13

Nietemin kunnen ze miszitten. Persoonlijk vind ik dat een regeringsvertegenwoordiger andere bronnen moet hebben dan een artikel in een krant (welke krant dan ook). Media is veel te onderhevig aan hype en halve informatie. Zeker als het over ICT gaat. Maar weinig kranten (en andere media) hebben journalisten die weten waar ze het over hebben in dat gebied.

Als de man eerst langs het bedrijf o autoriteit was gegaan en daarna vragen had gesteld...

[Reactie gewijzigd door bzuidgeest op 26 juli 2024 16:44]

supersnathan94

@pmeter • 8 oktober 2022 11:24

Nou. Hoe kan het dat dit bedrijf zelf een statement moet gaan uitgeven en dat de staatsecretaris geen contact heeft opgenomen met ze?

Ik mag toch hopen dat die niet afgaat op alleen de Telegraaf, maar even verder kijkt en naar de leverancier gaat.

supersnathan94

@SuperDre • 8 oktober 2022 14:19

Nou van een staatssecretaris mag je toch wel aannemen dat die normaal gesproken even wat onderzoek doet en belt hoor.

Zou wat zijn als de politiek alles in de media direct klakkeloos zou overnemen.

Als dat zo zou zijn ga ik NU een krant beginnen.

vgroenewold @supersnathan94 • 8 oktober 2022 14:56

Dat komt gewoon voor hoor, maar meestal in een debat "ik heb vernomen". Dat het soms ook gewoon overgenomen wordt omdat een medewerker het zo heeft gebracht, uiteraard gebeurt dat.

supersnathan94

@vgroenewold • 8 oktober 2022 15:32

Het komt voor. Tuurlijk. Maar in die context is het dan vaak ook om vragen te stellen of dit ook zo is. Het stukje fact checking. En dan is dat natuurlijk prima. Het is echter niet de default voor mededelingen.

[Reactie gewijzigd door supersnathan94 op 26 juli 2024 16:44]

TStick @supersnathan94 • 9 oktober 2022 14:46

Daar is vast een medewerker van de minister op gezet ja. De minister zal zich er niet persoonlijk mee bezig gehouden hebben. Ik denk dat er ergens in de Ambtelijke tussenschakels rapporten niet goed zijn geduid, of informatie verminkt is geraakt doordat betreffende personen niet goed in de materie hebben gezeten.

The Zep Man

Beveiliging en antivirus
Nederland

8 oktober 2022 10:13

"Tot nu toe is bekend dat van bijna 3500 medewerkers van Rijksoverheid naam, rijkspasnummer en paraaf is gelekt vanuit de thuisbezorgservice van de kaart."

Wie doet die thuisbezorgservice? Is dat ID-Ware zelf, of is dat uitbesteed?

Puffino @The Zep Man • 8 oktober 2022 11:05

En bij alle partijen die van Rijkspas gebruik maken werken véél meer mensen dan 3500.

Trouwens. ID-ware ontkent andere zaken dan Van Huffelen zei. Ze ontkennen (volgens dit bericht hier op Tweakers.net) dat partijen toegang zouden kunnen krijgen, maar dat heeft niemand gezegd.

sambalbaj @Puffino • 8 oktober 2022 13:24

Bij die thuisbezorgservice moest ik direct aan de Interdepartementale Post- en Koeriersdienst (IPKD) denken, maar die wordt niet genoemd.

Overigens krijgt haast iedereen de rijkspas op z'n werk zelf uitgereikt dus adressen zullen vaak interne adressen zijn en geen priveadressen. Die 3500 lijkt inderdaad weinig maar het zou ook om een beperkte tijdsperiode gaan.

luukw @sambalbaj • 8 oktober 2022 19:48

Overigens krijgt haast iedereen de rijkspas op z'n werk zelf uitgereikt dus adressen zullen vaak interne adressen zijn en geen priveadressen. Die 3500 lijkt inderdaad weinig maar het zou ook om een beperkte tijdsperiode gaan.

Mijn vermoeden is dat het wel eens om nieuwe/verlopen passen kunnen gaan die tijdens de lockdowns zijn uitgegeven en daardoor dus logischerwijs zijn thuisbezorgd.

Wootles @luukw • 8 oktober 2022 21:20

Wellicht hangt het van de overheidsinstantie af, maar bij mij moesten collega’s ook tijdens de lockdown hun toegangspas op kantoor afhalen, omruilen of inleveren. Dat kan dus geen reden zijn om de privé adresgegevens van pashouders op te slaan.

TheVivaldi @sambalbaj • 8 oktober 2022 13:39

Overigens krijgt haast iedereen de rijkspas op z'n werk zelf uitgereikt dus adressen zullen vaak interne adressen zijn en geen priveadressen. Die 3500 lijkt inderdaad weinig maar het zou ook om een beperkte tijdsperiode gaan.

Maar ik hoop wel dat het tot een grondig onderzoek leidt, want het zou maar een keer goed misgaan waarbij er wél privédingen uitlekken... Misschien was het een eenmalige hack, maar het kan ook een voorbode zijn. Als de beveiliging niet op orde is, dan is het een kwestie van tijd.

(Let wel: ik schrijf ALS het niet op orde is.)

dr86 @Puffino • 8 oktober 2022 20:33

Je kan de kamer enkel in met rijkspas èn gezichtsherkenning bij meerdere poortjes/sluizen. Met enkel een rijkspas kom je niet verder dan de centrale hal waar het vol staat met beveiliging.

derkesthai @The Zep Man • 8 oktober 2022 10:15

Ja dat was ook mijn eerste gedachte.. rondslingerend excel bestand wellicht..

einreb73 @The Zep Man • 8 oktober 2022 10:16

Waarschijnlijk een service waarbij je de rijkspas thuis kan laten bezorgen, ik neem aan de IDware de applicatie beheerd.

YamatoSan 8 oktober 2022 11:15

Waar op de 'darkweb' is het gelekt dan? Ik kan wel een kijkje nemen en checken of het klopt en of niet... 5 minuten werk.

pmeter

@YamatoSan • 8 oktober 2022 13:36

Edit: uit de downmod maak ik op dat het delen van de vindplaats niet wenselijk is, ook al was mijn reactie een letterlijk citaat uit de Volkskrant. Ik heb mijn reactie aangepast en volsta nu met een link naar het artikel uit de Volkskrant.

[Reactie gewijzigd door pmeter op 26 juli 2024 16:44]

PvtBrainwashed 8 oktober 2022 11:00

Dit lijkt me een semantische discussie. De staatssecretaris heeft het over Kamermedewerkers (ambtelijke staf, medewerkers van de fracties etc.). Het bedrijf ontkent slechts dat er bij de buitgemaakte gegevens ook Kamerleden (politici) zitten.

Groningerkoek @PvtBrainwashed • 8 oktober 2022 11:36

ID.Ware benoemt het als volgt: "data of members of parliament or other public figures in the Netherlands"

De staatssecretaris heeft het over kamerleden. Er is hier dus een directe tegenspraak.

Daarnaast zou het wel heel erg vreemd zijn als wel de gegevens van staf/medewerkers en kamerleden op verschillende locaties of in verschillende databases zijn ondergebracht.

rob12424 @Groningerkoek • 8 oktober 2022 12:41

Dat hoeft niet per se.

Een medewerker van de kamer kan een ambtenaar zijn. Een kamerlid is geen ambtenaar.

Bijvoorbeeld de griffier van het presidium is een ambtenaar. Vraagt een kamerlid bijvoorbeeld informatie op aan de griffier over een andere ambtenaar wat geen feitelijke informatie is. Dan heb je dus misschien wel te maken met Oekaze Kok:

https://kennisopenbaarbes...992-1999/1998-oekaze-kok/

Dat kan dus een reden zijn dat die databases gescheiden zijn. Er was daarom nogal ophef over dat De voorzitter Vera Bergkamp wist van het gedonder met Arib. Immers wettelijke gezien had de griffier schijnbaar moeten handelen en Bergkamp en het presidium er buiten moeten laten.

https://www.nrc.nl/nieuws...met-khadija-arib-a4143696

Er kan dus wellicht werkelijk een reden zijn om deze databases gescheiden te houden

Groningerkoek @rob12424 • 8 oktober 2022 20:56

Dit gaat niet om databeheer binnen de overheid, dit gaat om een lijst van ID-Ware met personeelsleden bij klanten van ID-Ware welke een pas van ID-ware via de post wilden ontvangen.

Het lijkt mij vrijwel uitgesloten dat ID-Ware kamerleden een eigen lijst geeft hiervoor.

Je kunt niet de griffier de schuld geven terwijl er helemaal nog niet duidelijk is wie wat heeft gelekt.

rob12424 @Groningerkoek • 9 oktober 2022 07:17

Ik geef niet de griffier de schuld dat hij gelekt heeft? Ik zeg alleen dat wettelijk gezien Bergkamp er waarschijnlijk niet bij betrokken had moeten zijn

Lees het stuk van de Volkskrant.

RobTweaks @rob12424 • 9 oktober 2022 13:45

Fyi, de griffier van de Tweede Kamer is een zij. Al sinds juni 2018.

NLxAROSA 8 oktober 2022 10:31

Ik krijg hier een sterke DigiNotar vibe bij om één of andere reden.

HKLM_ @NLxAROSA • 8 oktober 2022 11:02

DigiNotar was qua impact wel van een ander level

NLxAROSA @HKLM_ • 8 oktober 2022 12:27

Zeker!

Maar ook dat werd door het betreffende bedrijf/instantie en de overheid in eerste instantie gebagatelliseerd. En we weten allemaal wat daar uiteindelijk van waar bleek en wat er echt was gebeurd.

Dit verhaal is wellicht nog niet af.

Erwintjuh 8 oktober 2022 10:45

De ICT leverancier heeft even met Rutte gesproken: wij hebben hier geen actieve herinnering aan.

Batch 8 oktober 2022 10:49

Voor de PR afdeling is het na een hack of ransomware aanval die in het nieuws komt spitsroeden lopen. Ook hier wordt weer het "vertrouwde" scenario toegepast door de sprong naar voren te nemen en te zeggen dat het wel meevalt en later moeten ze erop terug komen dat het niet meevalt.