De feiten: OM mogelijk nog weken uit de lucht door cyberaanval
Het Openbaar Ministerie (OM) heeft op 18 juli alle interne systemen losgekoppeld van internet. Een maand eerder waarschuwde het Nationaal Cyber Security Centrum (NCSC) al voor ‘kwetsbaarheden’ in Citrix NetScaler.
Dankzij dit Amerikaanse systeem kunnen OM-medewerkers op afstand inloggen in de digitale werkomgeving. Het NCSC riep in juni mogelijk getroffen partijen al op om een patch, een stukje code waarmee softwareproblemen kunnen worden verholpen, te installeren om de beveiliging te herstellen.
Waarom het Openbaar Ministerie nog steeds offline is
Andere getroffenen zoals ziekenhuizen en gemeenten hebben de kwetsbaarheid dankzij de patch snel kunnen oplossen. Waarom dit het OM niet is gelukt, is niet bekend. Mogelijk is de organisatie te laat geweest met het installeren van de patch.
Hoe dan ook is het kwaad geschied: hackers, mogelijk afkomstig uit Rusland, zijn de systemen van het OM binnengedrongen. Totdat het lek is gedicht en duidelijk is wie welke informatie heeft gezien, gaat het OM niet meer online.
Rechtsgang vertraagd, slachtoffers in onzekerheid
De gevolgen zijn groot. Niet alleen kunnen OM-medewerkers niet meer bij digitale dossiers, ook de communicatie met de buitenwereld verloopt moeizaam. E-mailen is onmogelijk. Advocaten die het OM bellen, staan uren in de wacht voordat zij iemand aan de lijn krijgen.
Zittingen komen in het geding. Vrouwen van wie de gewelddadige partner in afwachting van zijn strafzaak is vrijgelaten, hebben grote moeite om contact te krijgen met het OM voor informatie die nodig is voor een eventueel locatie- of contactverbod, vertelde slachtofferadvocaat Richard Korver aan het AD.
Wanneer het OM weer online kan gaan, is onbekend. Het kan nog weken duren, meldde de organisatie vorige week.
Wie zegt wat over de OM-hack?
- ‘Wij vinden het lastig te begrijpen dat een overheidsinstantie – die verantwoordelijk is voor de veiligheid van u en mij – zelf kennelijk de ICT niet goed op orde heeft. Een cyberaanval is gewoon iets waar je tegenwoordig rekening mee moet houden,’ zegt strafrechtadvocaat Annemarie van der Velden.
- ‘Feitelijk kunnen we nu nog alleen constateren dat er bij het OM te laat is gepatcht,‘ zegt Erik de Jong van cybersecuritybedrijf Tesorion. ‘Maar het is behoorlijk complex om zo’n omgeving continu up-to-date te houden. Dat is uiteraard geen excuus.’
- ‘Geef ons desnoods een paar Signal-accounts,’ zegt advocaat Richard Korver, die samen met bestuurslid Esther Vroegh van de Nederlandse Vereniging van Strafrechtadvocaten voor het opzetten van een alternatief digitaal loket pleit. Signal is een (Amerikaanse) veilige berichtendienst.
- ‘We doen er gezamenlijk alles aan om het effect voor iedereen zo klein mogelijk te houden. Ik wil iedereen bedanken voor hun inzet, geduld en flexibiliteit,’ zegt Rinus Otte, voorzitter van het College van procureurs-generaal van het Openbaar Ministerie.
EW's visie: OM lijkt medeschuldig aan chaos, onderzoek nodig
Door: Maria Bouwman, Redacteur Onze OverheidWie zoals het Openbaar Ministerie steeds meer moet doen met steeds minder middelen, moet moeilijke keuzes maken.
In die zin valt het te begrijpen dat het OM, net als veel andere overheidsorganen, heeft gekozen voor Citrix, en niet voor een duurder systeem om mee op afstand te werken met minder gebreken. Veiligheid is duur.
Al langer bekend: Citrix is een zwakke schakel
Citrix is qua veiligheid niet optimaal – al in 2020 waarschuwde het NCSC voor ernstige kwetsbaarheden, waardoor hackers volledige controle over het systeem zouden kunnen krijgen.
Om te voorkomen dat hackers misbruik maken van die kwetsbaarheden, is snel patchen cruciaal. Dat lijkt niet gebeurd te zijn, of in elk geval niet snel genoeg.
Kwetsbaren de dupe van falend crisisbeheer
Nu zitten niet alleen OM-medewerkers, maar ook kwetsbare slachtoffers, verdachten en hun advocaten al weken in onzekerheid door de zuinigheid en waarschijnlijke nalatigheid van het OM. Krijg ik nog op tijd een contactverbod tegen mijn stalker? Gaat de zitting in mijn zaak door? Niemand die het weet.
Tijd voor transparantie én rekenschap
De opeenstapeling van tekortkomingen zet zich voort: het OM heeft nog altijd geen noodplatform opgetuigd, bijvoorbeeld de door advocaten gesuggereerde communicatie via berichtenapp Signal.
Het is nu vooral zaak dat er snel duidelijkheid komt over wanneer het OM zijn taken weer kan vervullen en waar mensen tot dan terecht kunnen met vragen. Daarna zal tot op de bodem moeten worden uitgezocht wie verantwoordelijk zijn voor deze foutenreeks.