Ddos-aanvallen op Nederlandse overheid hinderen thuiswerkende ambtenaren

Een groot aantal ambtenaren bij de Nederlandse Rijksoverheid kan niet meer vanuit huis werken vanwege aanhoudende ddos-aanvallen, zeggen bronnen tegen de NOS. Het is onduidelijk waar die aanvallen vandaan komen en op welke systemen ze specifiek gericht zijn.

De NOS schrijft op basis van bronnen dat een deel van de Nederlandse ambtenaren van ministeries zoals dat van Justitie en Veiligheid, Financiën, Buitenlandse Zaken en Volksgezondheid, Welzijn en Sport al enkele dagen het advies krijgt om te werken op kantoor en niet meer vanuit huis. De NOS zag interne communicatie waarin staat dat er ddos-aanvallen zijn die af en aan plaatsvinden, waardoor sommige diensten niet beschikbaar zijn.

"Advies is om op kantoor te werken omdat een ddos-aanval de bereikbaarheid vanuit thuis kan belemmeren", staat in een interne memo. Het gaat volgens de omroep bijvoorbeeld om de vpn-verbinding waarmee ambtenaren vanuit huis op netwerkschijven kunnen komen. De aanvallen lijken volgens een woordvoerder van het ministerie van Binnenlandse Zaken vooral buiten kantooruren plaats te vinden.

Het is onbekend wie er achter de aanvallen zitten, waarop die zich richten en welk motief de daders hebben. Het lijkt erop dat die voornamelijk zijn gericht op het Shared Service Center ICT, of SSC-ICT, een ict-dienstverlener voor Rijksoverheidsdiensten.

Door Tijs Hofmans

Nieuwscoördinator

15-09-2025 • 16:03

50

Submitter: Nielssss

Reacties (50)

Sorteer op:

Weergave:

Tja, hoe meer we uitfaseren naar de cloud, hoe vaker dit een probleem gaat worden, ook voor mensen die wél op kantoor werken. Verder vind ik het van veel bedrijven nog steeds dom om maar van 1 VPN provider afhankelijk te zijn. Dat is (zoals dit weer bewijst) vragen om problemn.
Ik ga er in dit geval even vanuit dat we het hier niet hebben over een 'generieke VPN provider' voor thuisgebruik maar een IT oplossing die ergens on-prem staat te draaien in een datacenter van een leverancier (SSC-ICT in dit geval). Het voegt dan niets extra's toe om er nog een tweede VPN concentrator naast te zetten, sterker nog dat maakt het de boel alleen maar duurder, complexer en je geeft aanvallers een groter aanvalsoppervlak.

Ik zou eerder vraagtekens stellen bij de anti DDoS oplossing die hiervoor ingezet wordt. In dit geval zou je al het verkeer buiten Nederland kunnen afsluiten zodat de mensen in Nederland in ieder geval gewoon remote kunnen werken.
Dan ga je er vanuit dat er geen bots vanuit Nederland worden gebruikt of dat er geen buitenlandse medewerkers aanwezig zijn. Niet alle ambtenaren zitten vanuit Nederland te werken...
Met een toestaan/allowlist lijst van (huishoud) IP addresses en rate limits Zou je ver kunnen komen, maar er staat niet veel over de ddos aanval

Ook als ieder ip address is geblokkeerd Kun je plat gaan. Er moet namelijk alsnog uitgevogeld worden dat het IP geblokeerd is. Minder werk, maar genoeg spam en nog steeds plat
Nee zeker niet, maar je sluit in ieder geval 99% van de bot systemen in de wereld af van de aanval.

Daarnaast is het advies om naar kantoor te komen, dus je sluit sowieso al de buitenlandse werknemers uit.

[Reactie gewijzigd door Aalard99 op 16 september 2025 06:47]

De intentie van die vpn provider is, als ik het artikel goed lees, om toegang te krijgen tot de interne infrastructuur. Dus een kleine groep ip adressen en netwerkverbindingen die dit kan. Je wil niet random extra vpns gaan toestaan ditzelfde te bereiken. Het is onnodig redundant en onveilig. Als je meer random vpns authoriseert om in te loggen heb je meer ruimte om 1 inloggegeven te hacken en gehackt te worden. Zo is bijvorbeeld Uber gehackt. https://secutoris.com/news/how-hackers-were-able-to-access-ubers-it-systems , maar ook vele anderen


"After compromising the Uber employee, the hacker used the victim’s VPN access to penetrate the internal network. These internal systems are less evaluated and audited than Uber’s external infrastructure."


Ga voor 0 trust. Voeg niet onnodige extra vpns toe voor het geval een uitvalt. Thuiswerk is niet een eerste levensbehoefde. Niet gehackt worden is een stuk urgenter
Ik bedoel helemaal niet om er 10 toe te staan, maar gewoon 2. 1 extra voor het geval die ander plat is. Je gaat de meeste zaken van je netwerk dubbel uitvoeren vanwege problemen, maar de enige ingang laat je alleen?

Niet bij je gegevens kunnen is ook een beveiligingsrisico. Stel dit gaat nog 10 dagen door, dan komen bepaalde processen echt wel in de problemen.
Volgens het artikel werkt het alleen thuiswerk tegen. Dit is erg jammer, maar zou geen problemen moeten opleveren. Er wordt Dan ook gevraagd om op kantoor te Komen. Het zelfde werk kan nog steeds gedaan worden. Hoewel jammer voor de medewerkers is dit Denk ik toch echt een van de minder slechte benaderingen
Als je niet meer vanuit huis support kunt leveren en bepaalde dingen op kunt starten, gaat dat op den duur echt nog wel problemen geven qua uptime en bugfixing.
Juist niet :) Als alles in de cloud draait, kan je er overal vandaag erbij. Als het allemaal on-prem draait, loop je het risico bij een verstoring dat je niet remote kunt werken en naar kantoor moet komen.
Want cloud providers hebben nooit storing? En zoals hier kan je endpoint ook gewoon aangevallen worden. Laten we niet doen dat alle cloud services een perfecte uptime hebben, daar gaat ook genoeg mis.
nee, alleen is de kans een stuk kleiner en zit daar een veeeeel groter team achter om problemen op te lossen.
Je geeft ook gelijk alles weg aan de cloud provider, dat moet je ook willen. Als je je eigen private cloud draait kun je ook gewoon overal bij wat nodig is, maar heb je het nog wel zelf in beheer.
Moeten ze gewoon weer lekker naar kantoor gaan ;-)
Dat kantoor is voor een groot deel wegbezuinigd.

Jaren terug werden kantoren al ingericht op 70% bezetting. (Dat is waar je ongeveer op uit komt wanneer iedereen zijn vakanties, ziektedagen en part-timedagen op elkaar afstemt.) Maar met het thuiswerken is er in veel overheidsgebouwen nog maar plek voor minder dan de helft van het personeel. Zonder thuiswerken moeten buiten vakantieperiodes om twee mensen aan één bureau werken. (Bij elkaar op schoot, want er zijn ook niet genoeg stoelen.)
Als je SaaS diensten afneemt maakt het niks uit of je thuis of op kantoor werkt.
Als ze Microsoft office 365 platleggen zien of veel organisaties nog kunnen mailen of bv Teams kunnen gebruiken.

Het is altijd afwegen wat je waar en wanneer afneemt.
De aanvallen lijken volgens een woordvoerder van het ministerie van Binnenlandse Zaken vooral buiten kantooruren plaats te vinden.
Dat is een vreemde. Buiten kantooruren wordt er immers relatief minder gewerkt (het heet niet voor niets kantooruren...), en is de totale impact dus ook minder.

Als DDoS-er wil je toch juist zoveel mogelijk impact veroorzaken? Waarom kies je dan niet de reguliere kantoortijden, als je veel meer mensen raakt?

Is dit 'buiten kantoortijden'-gebeuren specifiek bij het ministerie van Binnenlandse Zaken, of zien ook de andere getroffen diensten een vergelijkbaar beeld?

Hopelijk weten ze de daders op te sporen en te vervolgen, maar helaas is die kans wel vrij klein over het algemeen.
Dat klinkt in eerste instantie wellicht flauw, maar wie het boek Diensten met Geheimen van universitair docent (en tegenwoordig Eerste Kamerlid) Willemijn Aerdts leest, ziet dat het inderdaad vaak zo werkt.

Staatshackers zijn vaak ook ambtenaar of ingehuurd door de overheid, willen overuren ook extra uitbetaald krijgen en hebben een baas/opdrachtgever met een beperkt budget. Dus als er een cyber-aanval op rare tijden plaatsvindt, is het geen gek idee om eerst eens te zoeken in de richting van een tijdzone waarin het op dat moment kantoortijd is.
Ik denk eerder Amerikaanse werktijden? Die beginnen wanneer ze hier naar huis gaan.
de hangt helemaal af van waar in de VS. Genoeg Amerikaanse collega's van mij die gewoon beginnen met werken als het hier 14u is.
Stel dat het doel 'binnendringen' is; dan wil je dat buiten kantoortijden doen vanwege beschikbaarheid personeel en het vele verkeer zal mogelijk afleiden van pogingen een exploit te vinden/misbruiken.
Een DDoS en binnendringen is niet iets wat vaak samengaat. DDoS gaat vooral om pesten, testen en reactie uitlokken, terwijl daadwerkelijk hacken veel meer gaat om stiekem/stealthy binnenkomen.
Ik vind het wel een sterk punt van @TheNephilim

Dat het niet vaak samengaat kan prima betekenen dat dit nu wel zo is. Het gaat hier om systemen waar al bijzonder veel monitoring op zit, dus zou het denk ik prima ingezet kunnen worden voor het vervuilen van logs en het sturen van de aandacht.
Kennen we nog echt kantoortijden dan?

In de hoek waar ik nu zit met 24/7 dienstverlening kan dit wel degelijk impact hebben.

Wat dacht je van JenV, OM, etc. als jij officier van dienst (piket) bent is het handig als je thuis in kan loggen als het nodig is.
Politie en justitie zijn de meest voor de hand liggende voorbeelden, maar er zijn nog veel meer overheidsdiensten die 24x7 werken. Verder werken mensen over de hele wereld voor onze overheid op ambassades en hebben we nog een deel van het koninkrijk in de Cariben.. Ook mensen die on-the-road werken en op kantoor niets te zoeken hebben.. De impact is echt wel behoorlijk.
Doel kan ook zijn het testen op responstijden, grenswaarden testen wanneer een anti-DDoS niet meer actief is, allemaal in voorbereiding op een andere aanval.
misschien kost zo een test minder veel geld als het buiten kantooruren is?
Veel mensen die thuiswerken doen dat ook omdat ze dan juist niet aan kantoortijden gebonden zijn. Iemand die 's ochtends barst van de energie kan bv. om 5 uur al beginnen en na de lunch een siësta houden om dan 's avonds nog wat emails te beantwoorden en toch 8 uur productief te zijn geweest.
Of juist 's ochtends de kinderen naar school brengen, tussen het werk door een wasje draaien en dan 's avonds nog een paar uur te werken.
Denk dat jouw beeld niet helemaal past bij de gemiddelde ambtenaar die om 17 uur zijn laptop dichtklapt.
Alleen wanneer hij om half negen begonnen is.
En om jouw cliché nog een beetje in stand te houden zullen ambtenaren nog steeds religieus bijhouden hoelang ze werken, zodat ze geen seconde langer dan 36 uur per week werken (voor de puriteinen onder de ambtenaren zal dat zijn inclusief de paar seconden die het duurt om de laptop dicht te klappen).

Ik ken genoeg ambtenaren die thuis in de vroege of juist late uren nog werken. En emails kunnen tussen 5 uur 's ochtends en 2 uur 's nachts beantwoord worden. Net hoe hun dagelijkse ritme is. (En hoewel de meeste managers angstig waren dat hun medewerkers zonder supervisie niet zouden werken, is over het algemeen de productiviteit juist gestegen. Al zijn er natuurlijk altijd een paar die de vrijheid niet aan kunnen en beter op kantoor kunnen werken.)
Om 17:00 uur de laptop dichtklappen? Sinds wanneer werken ambtenaren over?
Bor Coördinator Frontpage Admins / FP Powermod @wildhagen15 september 2025 20:43
Dat is een vreemde. Buiten kantooruren wordt er immers relatief minder gewerkt (het heet niet voor niets kantooruren...), en is de totale impact dus ook minder.
Dat is op zich helemaal niet vreemd wanneer de aanvaller bv tijdens kantoortijd zelf aan het werk is.
Return to office word steeds aggressiever!
Ik merk hier geen verschil
Op Qrator Labs staat toevallig over de grootste botnet attack met 5,7 miljoenen IP-adressen op een overheidsorgaan.

Largest L7 DDoS botnet. The target was an organization in the government sector
Helpt ook niet mee dat alle overheid ICT infra enorm gefragmenteerd is onder verschillende dienstverleners.
Tja... In 2025 nog vpn gebruiken... SASE is the way to go
Totdat de datacenters plat worden gelegd/gegooid? Tja... fysiek is ook een puntje lijkt me tegenwoordig...?
Word tijd dat ze nu eens andere Rijksoverheden volgen met het bv uitrollen van Netskope of Zscaler. Ouderwetse gedoe met IPSEC of SSL VPN tunnels.
Je ziet het aan Citrix, ook dat kan gehackt worden. Niks is heilig hoor. Het is niet alsof je er een gouden oplossing is voor elk probleem.
Nee klopt maar niet geen ingress ip hebben, scheelt enorm.
Je bedoelt dat het beter is als ze geen ingress ip hebben?
ja klopt, kennelijk had ik het op mijn mobiel niet juist getypt.
Het moet wel juist lukken dat bij lees meer het bericht van van het "record dat cloudfare van 37,4TB laatste juni" staat...

Men zou toch mogen aan kunnen nemen dat het ondertussen wel bekend is dat cloudflare zulke diensten aanbied.. op somige sites staat die vrij gevoelig ingesteld waar het twee maal te snel na elkaar hernieuwen van een pagina de captcha al reageert...
Dat weet men. Men weet ook dat Cloudflare dat niet gratis doet.
Precies. En misschien wil je overheidsinformatie wel niet door een private Amerikaans bedrijf laten routeren.
Hoe weet je dat het desinformatie was van de EU? of is dit gewoon jouw negatieve sentiment?

Wat ik had gelezen is dat Bulgarije zelf de beschuldiging had gedaan over Poetin, en dat later introk. De waarheid is nog onduidelijk


Om te kunnen reageren moet je ingelogd zijn