De Justitiële ICT Organisatie bleek de afgelopen maanden twee keer betrokken te zijn geweest bij cyberaanvallen op de Nederlandse overheid. De incidenten brengen meerdere slechte beveiligingspraktijken aan het licht.
Het Nederlandse Argos meldt dat de Justitiële ICT Organisatie (JIO), de IT-partner van het ministerie van Justitie en Veiligheid, afgelopen zomer gehackt is geweest. Dat kan iedere organisatie overkomen, ware het niet dat Argos twee weken geleden al over een ander lek had bericht. De hackers maakten gebruik van kwetsbaarheden in Citrix en Ivanti.
Enkelband
De incidenten zouden wellicht al maanden geleden hebben plaatsgevonden, al zijn alle problemen nog niet van de kaart. JIO bevestigt dat één van de twee hacks het gevolg is van een lek in thuiswerksoftware van Citrix. In augustus zijn meerdere organisaties in Nederland ten prooi gevallen aan een kwetsbaarheid in Citrix Netscaler ADC.
De JIO was nochtans gewaarschuwd. Minister van Justitie David Van Weel (VVD) meldde in augustus dat er ‘signalen waren dat er gebruik was gemaakt van de kwetsbaarheid in de Citrix-omgeving’. Het ministerie besloot daarop de kwetsbare Citrix-servers offline te halen, maar de ICT Organisatie deed dit niet, uit vrees voor impact op IT-systemen van de overheid. Zo werd onder meer gevreesd dat het systeem om enkelbanden te monitoren, niet meer zou functioneren.
Nutteloze firewall
Om het nog erger te maken, bleek ook de interne firewall door een configuratiefout niet aan te staan. Voor het beheer van de firewall doet de organisatie beroep op een externe partij Solvinity, dat cybersecuritydiensten levert aan verschillende overheidsdiensten en ook het authenticatieplatform DigiD beheert.
Het ontbreken van een firewall zette de deuren wagenwijd open voor de hackers. Of ze op die manier ook tot bij andere overheidsdiensten die klant zijn bij Solvinity zijn geraakt, is onbekend. Dat kan je uit de logginggegevens van de firewall afhalen, als die zou werken. “De binnenste firewalls lieten meer verkeer door dan strikt noodzakelijk is voor de reguliere werking”, geeft JIO toe, maar het bedrijf ontkent dat de firewall geen loggingegevens zou hebben bijgehouden.
Een ezel en een steen
Het Citrix-lek blijkt ook geen losstaand incident te zijn. In februari maakte de Dienst Justitiële Inrichtingen bekend dat een datalek zou hebben plaatsgevonden, net als de Autoriteit Persoonsgegevens en de Raad voor de Rechtspraak. De gemeenschappelijke deler blijkt hier een kwetsbaarheid in Ivanti EPMM (Endpoint Manager Mobile) te zijn. Ook de Europese Commissie is getroffen.
Volgens Argos hebben de indringers al minstens vijf maanden toegang tot de systemen van de overheidsdienst. Via de kwetsbaarheid kunnen ze vanop afstand mobiele apparaten van werknemers binnendringen. Het Nationaal Cyber Security Centrum (NCSC) sluit niet dat de aanvallers nog steeds toegang hebben tot de gehackte Ivanti-systemen, als ze achterdeurtjes zouden hebben geplaatst.
Toeval of niet, maar de directeur van JIO heeft zijn functie eind februari neergelegd. De organisatie ontkent dat er een verband met de incidenten bestaat. Wat niet valt te ontkennen, is dat er heel wat rommelt aan de digitale beveiliging van de Nederlandse overheid.