Nederlands Openbaar Ministerie brengt eerste systemen weer online na cyberaanval

Het Nederlands Openbaar Ministerie gaat geleidelijk aan weer online. Volgens de aanklager zijn hackers binnengedrongen op de systemen. Volgens het OM zijn er geen signalen dat er data is gestolen, maar dat wordt niet uitgesloten.

Het Openbaar Ministerie schrijft dat het zijn interne systemen langzaam weer online brengt. Dat gebeurt gefaseerd. Aanvankelijk wordt e-mail weer beschikbaar gemaakt. Daarna volgen de fases 'grofweg de volgorde van de rechtsgang'. Het OM durft nog niet te zeggen hoe lang het duurt voordat alle systemen weer operationeel zijn.

Het OM haalde twee weken geleden al zijn systemen offline, nadat bleek dat aanvallers misbruik maakten van een kwetsbaarheid in het Citrix-systeem van de openbaar aanklager. Het OM zei enkele dagen erna al dat het lek werd misbruikt, maar gaf daar weinig details over. Dat herhaalt het OM nu. "Tot op heden is niet vastgesteld dat er data (strafvorderlijk of anderszins) zijn gemanipuleerd of zijn weggehaald. Er zijn wel enkele Citrix-systemen gecompromitteerd, wat betekent dat deze systemen zijn blootgesteld aan ongeoorloofde toegang", schrijft de instantie.

Volgens het OM is het nodig de herstart 'zorgvuldig af te stemmen' met andere instanties. Veel van de systemen van het OM zijn gekoppeld met andere instanties, zoals de Rechtspraak, de politie, het Centraal Justitieel Incassobureau en het Nederlands Forensisch Instituut.

Door Tijs Hofmans

Nieuwscoördinator

04-08-2025 • 17:00

33

Reacties (33)

Sorteer op:

Weergave:

Het zal al wel vaker gezegd zijn maar onbegrijpelijk dat dit gebeurt. Wij updaten meteen diezelfde avond(niet altijd leuk met zoveel cve's bij Citrix) zonder eigenlijke downtime (failover, klein hikje). Spoed CAB en updaten maar!
Maar als het een zero day is, hoe kan je dan garanderen dat je voor het bekend zijn van de zeroday en de patch niet al gecompromised bent?
Ik ben geen om mewerker, maar misschien hebben ze green behoefde aan een crowdstrike 2.0 of een incompatible updat voor hub specifieke comfigutatie.. Het lijkt erop dat ze wel vrij snel geupdate hebben, maar 5 dagen na de update en toen al gehackt waren
Ik denk dat je je even moet verdiepen in de kwetsbaarheid en de timeline van dit verhaal.
AuteurTijsZonderH Nieuwscoördinator 4 augustus 2025 16:32
Mocht iemand meer informatie hebben over deze situatie, dan horen we dat uiteraard graag! Je kunt me ook altijd anoniem bereiken: tijshofmans.nl/privacy

[Reactie gewijzigd door TijsZonderH op 4 augustus 2025 16:32]

Ze hebben al vastgesteld dat het lek is misbruikt. Wat de logs niet aangeven is wat er vervolgens met de gelekte (credential) tokens is gebeurt. Sommige personen bij justitie kunnen natuurlijk bij heel erg veel dossiers en als je zo'n token in handen krijgt, kun je dus zeer gevoelige informatie uit het systeem trekken.

Nu ken ik de systemen van justitie niet, maar wij hebben wel een dossier systeem ontwikkelt welke door drie advocaten kantoren worden gebruikt en bij ons zijn dossiers opgedeeld in administratief, financieel en inhoudelijk. Financieel betreft eigenlijk alleen zeer oppervlakkige 'inzicht' in facturen. Administratief is vooral bedoeld voor personeel zoals receptie en assistenten om bijvoorbeeld afspraken in te zijn (inplannen werkagenda advocaat) en bijvoorbeeld opzoeken wanneer iemand een afspraak heeft.

Elk dossier heeft een case manager (hoofd advocaat) en in eerste aanleg heeft alleen deze persoon toegang tot het dossier. Andere personen kunnen toegang vragen tot het dossier via de case manager. Voor elke case manager zijn ook tot twee alternatieve case managers. Deze hebben toegang tot de dossiers als de primaire case manager afwezig.

Iedere inzage in een dossier (ongeachte de persoon) wordt gelogd in ons dossier. Een receptionist kan in ons systeem niet zomaar grasduinen en even browsen wie in het dossier staat. Als je belt met een onbekend nummer, dient de beller zich te identificeren met naam, geboortedatum en SSN (BSN in NL). Dit is vooral bedoeld om tegen te gaan dat medewerkers van het kantoor zomaar proberen willekeurige dossiers te benaderen, maar ook om de persoon telefonisch te identificeren.

Mocht iemand je telefoon in handen krijgen en deze weten te unlocken en per toeval het kantoor bellen (of je nummer weten te spoofen), dan kan de receptionist ook de afsprakenagenda inzien. Maar niet het financiele of dossier inhoudelijk deel.

Een van deze kantoren werkt met veel blijf van mijn lijf huizen, dus bescherming van privacy is extreem belangrijk. Openbaring van deze gegevens kan letterlijk mensenlevens kosten.

Het verbaasd mij dat het OM niet een dergelijk systeem heeft om ongeautoriseerde toegang tot een dossier te voorkomen.
Het verbaasd mij dat het OM niet een dergelijk systeem heeft om ongeautoriseerde toegang tot een dossier te voorkomen.
Wie zegt dat ze dat niet hebben?

In jouw voorbeeld heeft de casemanager toegong tot zijn eigen dossiers. Wanneer door een lek de credentials van die casemanager zijn buitgemaakt, kan je met die credentials bij zijn dossiers.
Die toegang is gelogd, maar wanneer elke casemanager regelmatig dosiers checkt (omdat daar bijvoorbeeld door anderen informatie aan toegevoegd kan worden of omdat hij zelf informatie van derden aan het dossier toe moet voegen), dan kan er enige tijd overheen gaan totdat is uitgezocht of elke gelogde inzage door de casemanager is gedaan.
Citrix heeft regelmatig ernstige cve’s. Je zou denken dat je deze toch asap update.
Heel regelmatig is best relatief als je vergelijkt met bijvoorbeeld Microsoft, Fortinet, …

Citrix is gewoon veel zichtbaarder voor veel mensen tegenwoordig.


Dat gezegd zijnde, je zou inderdaad verwachten dat organisaties dit snel patchen. De realiteit is echter helemaal anders, wordt keer op keer bewezen jammer genoeg.
Ik denk dat de realiteit vooral zit in angst om snel te updaten ivm crashes etc. Een niet ongegronde angst die ik op zich goed kan begrijpen.
  1. Is de CISO dan eindverantwoordelijk voor dit probleem?
  2. Heeft de CISO het mandaat, de middelen, mensen en mogelijkheden gehad om deze problemen preventief op te lossen?
  3. Heeft de CISO gewaarschuwd voor de risico's van het niet actief patchen van deze soort kwetsbaarheden?
  4. Gaat het ontslaan van een CISO voorkomen dat het OM dit soort situaties nooit meer gaat meemaken?
Zomaar wat vragen om te beantwoorden voordat je de CISO onder de bus gooit, niet waar?
Ik denk dat op al deze vragen wel een antwoord verwacht mag worden, niet? Al is het maar in een intern RCA rapport. Weten wat hieraan gedaan had moeten worden, waarom dat niet gedaan is en wie daarvoor de verantwoordelijkheid draagt is gewoon een van de zaken die je boven water wilt krijgen.

Ik vermoed overigens niet dat hier nog een strafrechtelijk staartje verwacht mag worden. De uiteindelijke oorzaak zal wellicht te hoog in de boom gezeten hebben (niet alloceren van voldoende resources) om over uit de school te klappen. Hooguit zien we nog wat kamervragen maar het zal allemaal met een sisser aflopen.
Ik ga er vanuit dat deze vragen allemaal netjes beantwoord worden. Alleen niet binnen 2 weken via de media. Het opstellen van het RCA rapport zal de komende tijd ongetwijfeld een van de actiepunten zijn, nu ze langzaamaan de primaire processen weer beschikbaar weten te krijgen.

Of er strafrechtelijke staartjes komen vraag ik me ten zeerste af. Is er sprake geweest van (criminele) nalatigheid? Zo ja, dan is dat wellicht een aanknopingspunt, maar zoals je al aangeeft: het niet alloceren van voldoende resources / prioriteit is een waarschijnlijk grondoorzaak. Speculatief op dit moment, maar zeg nu zelf: is dit niet 99 van de 100x de oorzaak?
Interim rapporten behoren in de basis geen vragen te beantwoorden, maar feiten weer te geven. Het eindrapport moet de fouten identificeren en met verbetervoorstellen komen.
  1. Uiteindelijk valt binnen het OM IT onder de ciso.
  2. Dat is in dit geval, gratis patch beschikbaar iets wat je kunt afdwingen, als je eindverantwoordelijk bent kun je je IT mensen dit gewoon laten installeren, je bent immers CISO.
  3. Dit zijn zaken die niet aan de directie tafel thuis horen, dan ben je immers al te laat. Ciso hoort samen met de security en infra luitjes impact/risico analyse te doen, en dat kan gewoon in een uurtje als je je zaken op orde hebt.
  4. Nee, 100% veilig bestaat niet, echter kan het zijn dat in dit geval de operationele afdeling gewaarschuwd heeft en dit door de Ciso genegeerd is of onnodig uitgesteld. Dan is ontslag op zijn plaats en zal een meer capabele persoon dit niet zomaar overkomen.
Het kan natuurlijk altijd zo zijn dat deze persoon geslachtofferd wordt omdat de rest toch al een hekel aan hem/haar had, ja dat gebeurt, maar incompetentie is ook prima mogelijk binnen de overheid, als na de hack dan de specialisten betrokken worden rolt daar vaak een heel lelijk rapport uit met bijbehorende gevolgen.
Uiteindelijk valt binnen het OM IT onder de ciso.
Is dat zo? Ik zie zo in het organogram niet dat de CISO eindverantwoordelijk is voor de IT (los van dat dit gewoon niet wenselijk is, iets met eigen vlees keuren).
Dat is in dit geval, gratis patch beschikbaar iets wat je kunt afdwingen, als je eindverantwoordelijk bent kun je je IT mensen dit gewoon laten installeren, je bent immers CISO.
Als de CISO niet het mandaat heeft, dan heeft de CISO vaak ook niet de mensen en middelen om dit af te dwingen.
Dit zijn zaken die niet aan de directie tafel thuis horen, dan ben je immers al te laat. Ciso hoort samen met de security en infra luitjes impact/risico analyse te doen, en dat kan gewoon in een uurtje als je je zaken op orde hebt.
Ik stel de vraag of CISO heeft gewaarschuwd voor deze kwetsbaarheid. Daar doe ik de aanname bij dat deze dat gedaan heeft en dat diens waarschuwing niet geleid heeft tot het juiste mandaat, middelen, mensen of mogelijkheden om de organisatie in dit soort situaties adequaat te reageren.

Hoezo hoort het niet opvolgen van die waarschuwing, de risico's en impact daarvan niet thuis aan de directietafel? Als een organisatie écht zijn zaakjes op orde heeft komt de CISO niet eens te pas aan dit soort CVE's, hooguit de check of er iets te melden valt in het geval er in de directie iemand getriggerd wordt door hetgeen in media wordt geroepen. Helaas moet ik constateren dat vaak de CISO al tevergeefs herhaaldelijk heeft gewezen op risico's en dat diens waarschuwingen worden genegeerd.
Nee, 100% veilig bestaat niet, echter kan het zijn dat in dit geval de operationele afdeling gewaarschuwd heeft en dit door de Ciso genegeerd is of onnodig uitgesteld. Dan is ontslag op zijn plaats en zal een meer capabele persoon dit niet zomaar overkomen.
Waar komt vandaan de CISO dit heeft genegeerd of heeft uitgesteld? En hoezo is de CISO dan diegene die dit in zijn eentje mag beslissen? Zo'n situatie is hoogst ongebruikelijk en niet aannemelijk.

Plus, hoe ga je als organisatie jezelf wapenen tegen een zero-day? We weten niet eens of ze niet al gecomprimitteerd waren voordat de patch uit was gekomen.
Het kan natuurlijk altijd zo zijn dat deze persoon geslachtofferd wordt omdat de rest toch al een hekel aan hem/haar had, ja dat gebeurt, maar incompetentie is ook prima mogelijk binnen de overheid, als na de hack dan de specialisten betrokken worden rolt daar vaak een heel lelijk rapport uit met bijbehorende gevolgen.
Och, dit soort incompententie is zeker niet voorbehouden aan de overheid hoor. Alleen is het bedrijfsleven vaak beter in het verhullen van de waarheid. |:( Uiteindelijk zal het rapport genoeg aanknopingspunten bevatten voor verbetering. Laten we vooral dat afwachten voordat we gaan speculeren over iemands carriére.
[...]

Is dat zo? Ik zie zo in het organogram niet dat de CISO eindverantwoordelijk is voor de IT (los van dat dit gewoon niet wenselijk is, iets met eigen vlees keuren).
[...]
Sowieso zien we heel veel mensen de fout maken dat men denkt dat een CISO enkel en alleen dient voor ICT security, maar dat hoeft uiteraard helemaal niet zo te zijn. Ook de fysieke beveiliging van de gebouwen, de toegangscontrole voor fysieke locaties valt onder andere onder de bevoegdheid van de CISO. ICT staat zeker niet alleen in dat gebied.
Die casus is mij bekend en het betreft hier valsheid in geschriften op auditrapporten, volgens mij op Suwinet vanuit de ENSIA-cyclus. De CISO in kwestie was tevens ENSIA-coordinator en had geen zin om jaarlijks zijn audits te doorlopen. Dus copy/paste eerdere audits en vervang het jaartal.

Dat is van een iets andere orde dan "de security is onvoldoende in orde om een zero-day op te vangen".
Een CISO lost in de basis geen problemen op. Updates worden gedaan door het team dat eigenaar is van de appliance, en dat zal bijna nooit het seucrity team zijn.

Wel is het aan de CISO om o.a. de nodige procedures op te stellen om kritieke problemen zo snel mogelijk op te lossen alsook deze op te volgen.

Maar dan volgt natuurlijk ook nog altijd de vraag: hoe onafhankelijk kan de CISO werken, en worden de aanbeveling ook opgevolgd en de procedures correct geimplementeerd? Te veel organisaties waarbij de CISO door ander management genegeerd waardoor de CISO weer vleugellan is.
Als een bedrijf wordt gehackt via een bekende kwetsbaarheid waarvoor een patch beschikbaar was, en de CISO wist dit maar ondernam geen actie, dan zou hij of zij intern verantwoordelijk kunnen worden gehouden.

Juist bij een high-profile target zoals het OM zou het ICT security beleid tot in de puntjes geregeld moeten zijn en daar is een CISO verantwoordelijk voor.
Voorzover ik weet is er nog steeds niet bekend wat er precies is misgegaan. En als je een high-profile target bent kunnen zero days worden gebruikt die nog onbekend zijn. Feiten en omstandigheden zijn wel belangrijk.
Een CISO houdt zich binnen een organisatie bezig met het beveiligingsbeleid in het algemeen, niet met dagdagelijkse klusjes zoals de installatie van een specifieke patch voor een specifieke applicatie.
Als een bedrijf wordt gehackt via een bekende kwetsbaarheid waarvoor een patch beschikbaar was, en de CISO wist dit maar ondernam geen actie, dan zou hij of zij intern verantwoordelijk kunnen worden gehouden.

Juist bij een high-profile target zoals het OM zou het ICT security beleid tot in de puntjes geregeld moeten zijn en daar is een CISO verantwoordelijk voor.
De vraag is of de CISO hier a) van wist en b) of deze de mogelijkheid heeft gehad om hier iets aan te doen. Het is makkelijk een CISO te offeren, maar de werkelijke verantwoordelijken zitten (ook in het bedrijfsleven) vaak iets hoger in de boom.
Hoger, lager, extern of zelfs nergens. Het kan goed zijn dat deze persoon hiervoor zelf pas is ingelicht als het al te laat was, doordat het een 0-day betrof die enkel voor een klein groepje bekend was zoals bvb inlichtingendiensten die zelf de exploit gebruikten, al dan niet onafhankelijk van elkaar.
OM heeft de boel gewoon outsourced. Gaan die bedrijven de CEO/CTO/CISO ook ontslaan voor deze cluster-fout?
Ohja? Graag een bron voor die bewering.

Op dit item kan niet meer gereageerd worden.