Ddos-aanvallen op Nederlandse overheid hinderen thuiswerkende ambtenaren

Een groot aantal ambtenaren bij de Nederlandse Rijksoverheid kan niet meer vanuit huis werken vanwege aanhoudende ddos-aanvallen, zeggen bronnen tegen de NOS. Het is onduidelijk waar die aanvallen vandaan komen en op welke systemen ze specifiek gericht zijn.

De NOS schrijft op basis van bronnen dat een deel van de Nederlandse ambtenaren van ministeries zoals dat van Justitie en Veiligheid, Financiën, Buitenlandse Zaken en Volksgezondheid, Welzijn en Sport al enkele dagen het advies krijgt om te werken op kantoor en niet meer vanuit huis. De NOS zag interne communicatie waarin staat dat er ddos-aanvallen zijn die af en aan plaatsvinden, waardoor sommige diensten niet beschikbaar zijn.

"Advies is om op kantoor te werken omdat een ddos-aanval de bereikbaarheid vanuit thuis kan belemmeren", staat in een interne memo. Het gaat volgens de omroep bijvoorbeeld om de vpn-verbinding waarmee ambtenaren vanuit huis op netwerkschijven kunnen komen. De aanvallen lijken volgens een woordvoerder van het ministerie van Binnenlandse Zaken vooral buiten kantooruren plaats te vinden.

Het is onbekend wie er achter de aanvallen zitten, waarop die zich richten en welk motief de daders hebben. Het lijkt erop dat die voornamelijk zijn gericht op het Shared Service Center ICT, of SSC-ICT, een ict-dienstverlener voor Rijksoverheidsdiensten.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 15-09-2025 16:03
50 • submitter: Nielssss

15-09-2025 • 16:03

Submitter: Nielssss

Lees meer

Cloudflare weerstaat ddos-record van 37,4TB aan data in 45 seconden

Cloudflare weerstaat ddos-record van 37,4TB aan data in 45 seconden Nieuws van 23 juni 2025

Ddos-wasstraat NaWas is voortaan via ERA-IX ook vanuit Duitsland te gebruiken

Ddos-wasstraat NaWas is voortaan via ERA-IX ook vanuit Duitsland te gebruiken Nieuws van 13 juni 2025

Nederlandse politie adverteerde op Google Zoeken met neppe ddos-websites

Nederlandse politie adverteerde op Google Zoeken met neppe ddos-websites Nieuws van 7 mei 2025

NCSC waarschuwt voor lopende ddos-aanvallen op Nederlandse organisaties

NCSC waarschuwt voor lopende ddos-aanvallen op Nederlandse organisaties Nieuws van 1 mei 2025

Websites Nederlandse provincies en gemeentes onbereikbaar door cyberaanval

Websites Nederlandse provincies en gemeentes onbereikbaar door cyberaanval Nieuws van 28 april 2025

Meer producten en artikelen

Beveiliging en antivirus Ddos

Reacties (50)

50

47

23

2

0

15

Wijzig sortering

Martinspire 15 september 2025 16:45

Tja, hoe meer we uitfaseren naar de cloud, hoe vaker dit een probleem gaat worden, ook voor mensen die wél op kantoor werken. Verder vind ik het van veel bedrijven nog steeds dom om maar van 1 VPN provider afhankelijk te zijn. Dat is (zoals dit weer bewijst) vragen om problemn.

@Martinspire • 15 september 2025 19:47

Ik ga er in dit geval even vanuit dat we het hier niet hebben over een 'generieke VPN provider' voor thuisgebruik maar een IT oplossing die ergens on-prem staat te draaien in een datacenter van een leverancier (SSC-ICT in dit geval). Het voegt dan niets extra's toe om er nog een tweede VPN concentrator naast te zetten, sterker nog dat maakt het de boel alleen maar duurder, complexer en je geeft aanvallers een groter aanvalsoppervlak.

Ik zou eerder vraagtekens stellen bij de anti DDoS oplossing die hiervoor ingezet wordt. In dit geval zou je al het verkeer buiten Nederland kunnen afsluiten zodat de mensen in Nederland in ieder geval gewoon remote kunnen werken.

Martinspire @Aalard99 • 15 september 2025 20:16

Dan ga je er vanuit dat er geen bots vanuit Nederland worden gebruikt of dat er geen buitenlandse medewerkers aanwezig zijn. Niet alle ambtenaren zitten vanuit Nederland te werken...

Niema @Martinspire • 15 september 2025 21:38

Met een toestaan/allowlist lijst van (huishoud) IP addresses en rate limits Zou je ver kunnen komen, maar er staat niet veel over de ddos aanval

Ook als ieder ip address is geblokkeerd Kun je plat gaan. Er moet namelijk alsnog uitgevogeld worden dat het IP geblokeerd is. Minder werk, maar genoeg spam en nog steeds plat

@Martinspire • 16 september 2025 06:46

Nee zeker niet, maar je sluit in ieder geval 99% van de bot systemen in de wereld af van de aanval.

Daarnaast is het advies om naar kantoor te komen, dus je sluit sowieso al de buitenlandse werknemers uit.

[Reactie gewijzigd door Aalard99 op 16 september 2025 06:47]

Niema @Martinspire • 15 september 2025 17:54

De intentie van die vpn provider is, als ik het artikel goed lees, om toegang te krijgen tot de interne infrastructuur. Dus een kleine groep ip adressen en netwerkverbindingen die dit kan. Je wil niet random extra vpns gaan toestaan ditzelfde te bereiken. Het is onnodig redundant en onveilig. Als je meer random vpns authoriseert om in te loggen heb je meer ruimte om 1 inloggegeven te hacken en gehackt te worden. Zo is bijvorbeeld Uber gehackt. https://secutoris.com/news/how-hackers-were-able-to-access-ubers-it-systems , maar ook vele anderen

"After compromising the Uber employee, the hacker used the victim’s VPN access to penetrate the internal network. These internal systems are less evaluated and audited than Uber’s external infrastructure."

Ga voor 0 trust. Voeg niet onnodige extra vpns toe voor het geval een uitvalt. Thuiswerk is niet een eerste levensbehoefde. Niet gehackt worden is een stuk urgenter

Martinspire @Niema • 15 september 2025 19:16

Ik bedoel helemaal niet om er 10 toe te staan, maar gewoon 2. 1 extra voor het geval die ander plat is. Je gaat de meeste zaken van je netwerk dubbel uitvoeren vanwege problemen, maar de enige ingang laat je alleen?

Niet bij je gegevens kunnen is ook een beveiligingsrisico. Stel dit gaat nog 10 dagen door, dan komen bepaalde processen echt wel in de problemen.

Niema @Martinspire • 15 september 2025 21:36

Volgens het artikel werkt het alleen thuiswerk tegen. Dit is erg jammer, maar zou geen problemen moeten opleveren. Er wordt Dan ook gevraagd om op kantoor te Komen. Het zelfde werk kan nog steeds gedaan worden. Hoewel jammer voor de medewerkers is dit Denk ik toch echt een van de minder slechte benaderingen

Martinspire @Niema • 15 september 2025 23:34

Als je niet meer vanuit huis support kunt leveren en bepaalde dingen op kunt starten, gaat dat op den duur echt nog wel problemen geven qua uptime en bugfixing.

segil @Martinspire • 16 september 2025 08:25

Juist niet

Als alles in de cloud draait, kan je er overal vandaag erbij. Als het allemaal on-prem draait, loop je het risico bij een verstoring dat je niet remote kunt werken en naar kantoor moet komen.

Martinspire @segil • 16 september 2025 08:52

Want cloud providers hebben nooit storing? En zoals hier kan je endpoint ook gewoon aangevallen worden. Laten we niet doen dat alle cloud services een perfecte uptime hebben, daar gaat ook genoeg mis.

segil @Martinspire • 16 september 2025 10:26

nee, alleen is de kans een stuk kleiner en zit daar een veeeeel groter team achter om problemen op te lossen.

@segil • 16 september 2025 19:03

Je geeft ook gelijk alles weg aan de cloud provider, dat moet je ook willen. Als je je eigen private cloud draait kun je ook gewoon overal bij wat nodig is, maar heb je het nog wel zelf in beheer.

DiGiBrAt 15 september 2025 16:16

Moeten ze gewoon weer lekker naar kantoor gaan ;-)

@DiGiBrAt • 15 september 2025 19:52

Dat kantoor is voor een groot deel wegbezuinigd.

Jaren terug werden kantoren al ingericht op 70% bezetting. (Dat is waar je ongeveer op uit komt wanneer iedereen zijn vakanties, ziektedagen en part-timedagen op elkaar afstemt.) Maar met het thuiswerken is er in veel overheidsgebouwen nog maar plek voor minder dan de helft van het personeel. Zonder thuiswerken moeten buiten vakantieperiodes om twee mensen aan één bureau werken. (Bij elkaar op schoot, want er zijn ook niet genoeg stoelen.)

crzyhiphopazn @DiGiBrAt • 15 september 2025 16:49

Als je SaaS diensten afneemt maakt het niks uit of je thuis of op kantoor werkt.
Als ze Microsoft office 365 platleggen zien of veel organisaties nog kunnen mailen of bv Teams kunnen gebruiken.

Het is altijd afwegen wat je waar en wanneer afneemt.

Ddos
Beveiliging en antivirus

15 september 2025 16:06

De aanvallen lijken volgens een woordvoerder van het ministerie van Binnenlandse Zaken vooral buiten kantooruren plaats te vinden.

Dat is een vreemde. Buiten kantooruren wordt er immers relatief minder gewerkt (het heet niet voor niets kantooruren...), en is de totale impact dus ook minder.

Als DDoS-er wil je toch juist zoveel mogelijk impact veroorzaken? Waarom kies je dan niet de reguliere kantoortijden, als je veel meer mensen raakt?

Is dit 'buiten kantoortijden'-gebeuren specifiek bij het ministerie van Binnenlandse Zaken, of zien ook de andere getroffen diensten een vergelijkbaar beeld?

Hopelijk weten ze de daders op te sporen en te vervolgen, maar helaas is die kans wel vrij klein over het algemeen.

CPV @wildhagen • 15 september 2025 16:19

Chinese werktijden?

ZwolschBalletje @CPV • 15 september 2025 16:38

Dat klinkt in eerste instantie wellicht flauw, maar wie het boek Diensten met Geheimen van universitair docent (en tegenwoordig Eerste Kamerlid) Willemijn Aerdts leest, ziet dat het inderdaad vaak zo werkt.

Staatshackers zijn vaak ook ambtenaar of ingehuurd door de overheid, willen overuren ook extra uitbetaald krijgen en hebben een baas/opdrachtgever met een beperkt budget. Dus als er een cyber-aanval op rare tijden plaatsvindt, is het geen gek idee om eerst eens te zoeken in de richting van een tijdzone waarin het op dat moment kantoortijd is.

Mar9 @CPV • 15 september 2025 17:31

Ik denk eerder Amerikaanse werktijden? Die beginnen wanneer ze hier naar huis gaan.

segil @Mar9 • 16 september 2025 08:26

de hangt helemaal af van waar in de VS. Genoeg Amerikaanse collega's van mij die gewoon beginnen met werken als het hier 14u is.

@wildhagen • 15 september 2025 16:08

Stel dat het doel 'binnendringen' is; dan wil je dat buiten kantoortijden doen vanwege beschikbaarheid personeel en het vele verkeer zal mogelijk afleiden van pogingen een exploit te vinden/misbruiken.

Orangelights23 @TheNephilim • 15 september 2025 16:38

Een DDoS en binnendringen is niet iets wat vaak samengaat. DDoS gaat vooral om pesten, testen en reactie uitlokken, terwijl daadwerkelijk hacken veel meer gaat om stiekem/stealthy binnenkomen.

Pownaz @Orangelights23 • 15 september 2025 17:00

Ik vind het wel een sterk punt van @TheNephilim

Dat het niet vaak samengaat kan prima betekenen dat dit nu wel zo is. Het gaat hier om systemen waar al bijzonder veel monitoring op zit, dus zou het denk ik prima ingezet kunnen worden voor het vervuilen van logs en het sturen van de aandacht.

The-Priest-NL @wildhagen • 15 september 2025 19:04

Kennen we nog echt kantoortijden dan?

In de hoek waar ik nu zit met 24/7 dienstverlening kan dit wel degelijk impact hebben.

Wat dacht je van JenV, OM, etc. als jij officier van dienst (piket) bent is het handig als je thuis in kan loggen als het nodig is.

Isnowiz @The-Priest-NL • 15 september 2025 23:46

Politie en justitie zijn de meest voor de hand liggende voorbeelden, maar er zijn nog veel meer overheidsdiensten die 24x7 werken. Verder werken mensen over de hele wereld voor onze overheid op ambassades en hebben we nog een deel van het koninkrijk in de Cariben.. Ook mensen die on-the-road werken en op kantoor niets te zoeken hebben.. De impact is echt wel behoorlijk.

Platypussy @wildhagen • 15 september 2025 17:10

Doel kan ook zijn het testen op responstijden, grenswaarden testen wanneer een anti-DDoS niet meer actief is, allemaal in voorbereiding op een andere aanval.

theduke1989 @wildhagen • 15 september 2025 17:31

misschien kost zo een test minder veel geld als het buiten kantooruren is?

@wildhagen • 15 september 2025 19:48

Veel mensen die thuiswerken doen dat ook omdat ze dan juist niet aan kantoortijden gebonden zijn. Iemand die 's ochtends barst van de energie kan bv. om 5 uur al beginnen en na de lunch een siësta houden om dan 's avonds nog wat emails te beantwoorden en toch 8 uur productief te zijn geweest.
Of juist 's ochtends de kinderen naar school brengen, tussen het werk door een wasje draaien en dan 's avonds nog een paar uur te werken.

tweaker2010 @CivLord • 15 september 2025 19:52

Denk dat jouw beeld niet helemaal past bij de gemiddelde ambtenaar die om 17 uur zijn laptop dichtklapt.

@tweaker2010 • 15 september 2025 20:22

Alleen wanneer hij om half negen begonnen is.
En om jouw cliché nog een beetje in stand te houden zullen ambtenaren nog steeds religieus bijhouden hoelang ze werken, zodat ze geen seconde langer dan 36 uur per week werken (voor de puriteinen onder de ambtenaren zal dat zijn inclusief de paar seconden die het duurt om de laptop dicht te klappen).

Ik ken genoeg ambtenaren die thuis in de vroege of juist late uren nog werken. En emails kunnen tussen 5 uur 's ochtends en 2 uur 's nachts beantwoord worden. Net hoe hun dagelijkse ritme is. (En hoewel de meeste managers angstig waren dat hun medewerkers zonder supervisie niet zouden werken, is over het algemeen de productiviteit juist gestegen. Al zijn er natuurlijk altijd een paar die de vrijheid niet aan kunnen en beter op kantoor kunnen werken.)

ruftman @tweaker2010 • 16 september 2025 08:36

Om 17:00 uur de laptop dichtklappen? Sinds wanneer werken ambtenaren over?

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@wildhagen • 15 september 2025 20:43

Dat is een vreemde. Buiten kantooruren wordt er immers relatief minder gewerkt (het heet niet voor niets kantooruren...), en is de totale impact dus ook minder.

Dat is op zich helemaal niet vreemd wanneer de aanvaller bv tijdens kantoortijd zelf aan het werk is.

Zaggy 15 september 2025 16:24

Return to office word steeds aggressiever!

Cyberpuppy 15 september 2025 16:43

Ik merk hier geen verschil

ccnl 15 september 2025 16:58

Op Qrator Labs staat toevallig over de grootste botnet attack met 5,7 miljoenen IP-adressen op een overheidsorgaan.

Largest L7 DDoS botnet. The target was an organization in the government sector

gpon 15 september 2025 17:28

Helpt ook niet mee dat alle overheid ICT infra enorm gefragmenteerd is onder verschillende dienstverleners.

BSimpson 15 september 2025 17:39

Tja... In 2025 nog vpn gebruiken... SASE is the way to go

@BSimpson • 15 september 2025 18:34

Totdat de datacenters plat worden gelegd/gegooid? Tja... fysiek is ook een puntje lijkt me tegenwoordig...?

mgizmo 15 september 2025 23:17

Word tijd dat ze nu eens andere Rijksoverheden volgen met het bv uitrollen van Netskope of Zscaler. Ouderwetse gedoe met IPSEC of SSL VPN tunnels.

William_H @mgizmo • 16 september 2025 01:28

Je ziet het aan Citrix, ook dat kan gehackt worden. Niks is heilig hoor. Het is niet alsof je er een gouden oplossing is voor elk probleem.

mgizmo @William_H • 16 september 2025 08:48

Nee klopt maar niet geen ingress ip hebben, scheelt enorm.

William_H @mgizmo • 16 september 2025 12:02

Je bedoelt dat het beter is als ze geen ingress ip hebben?

mgizmo @William_H • 16 september 2025 12:19

ja klopt, kennelijk had ik het op mijn mobiel niet juist getypt.

downtime @sint_ignucius • 15 september 2025 17:19

Het moet wel juist lukken dat bij lees meer het bericht van van het "record dat cloudfare van 37,4TB laatste juni" staat...

Men zou toch mogen aan kunnen nemen dat het ondertussen wel bekend is dat cloudflare zulke diensten aanbied.. op somige sites staat die vrij gevoelig ingesteld waar het twee maal te snel na elkaar hernieuwen van een pagina de captcha al reageert...

Dat weet men. Men weet ook dat Cloudflare dat niet gratis doet.

William_H @downtime • 16 september 2025 01:29

Precies. En misschien wil je overheidsinformatie wel niet door een private Amerikaans bedrijf laten routeren.

oltk @SuBBaSS • 15 september 2025 23:04

Hoe weet je dat het desinformatie was van de EU? of is dit gewoon jouw negatieve sentiment?

Wat ik had gelezen is dat Bulgarije zelf de beschuldiging had gedaan over Poetin, en dat later introk. De waarheid is nog onduidelijk

Om te kunnen reageren moet je ingelogd zijn