Dienst Justitiële Inrichtingen (DJI) gehackt, problemen nog niet voorbij

Op 12 februari jl. liet DJI – de organisatie die verantwoordelijk is voor onder andere het gevangeniswezen, tbs-inrichtingen en vreemdelingenbewaring – medewerkers via een interne briefing weten de organisatie te maken heeft met ‘een datalek en een cyberincident’.

De organisatie schrijft aan haar medewerkers: “Waar eerst werd gedacht dat de data van DJI veilig waren, blijkt dat dat nu niet zo is. Ook DJI is getroffen.” Dat is gebleken uit onderzoek van een ‘externe hierin gespecialiseerde partij’.  

Verontrustende situatie

DJI waarschuwt medewerkers dat e-mailadressen, telefoonnummers en (beveiligings-) certificaten van gebruikers van zakelijke mobiele telefoons, laptops en tablets zijn gelekt en schrijft dat het hiervan melding zal doen bij de Autoriteit Persoonsgegevens (AP). Het datalek is extra gevoelig, omdat medewerkers van DJI extra risico lopen op chantage en afpersing, vanwege de aard van hun werk.

Voormalig gevangenisdirecteur Klaas Brandsma vindt het een verontrustende situatie: “Het gaat om mensen, zoals directeuren en afdelingshoofden, die regelmatig beslissingen nemen waar gedetineerden niet blij mee zijn. Als zij iemand willen chanteren of bedreigen, is het heel handig als je contactgegevens hebt. Dit kan gevolgen hebben voor de veiligheid van personeel en medewerkers in de organisatie.”  

Wat nog onduidelijk is, is of ook de locatiegegevens van de mobiele apparaten van medewerkers ook toegankelijk waren voor de hackers. Deze gegevens worden normaal gesproken opgeslagen in de gehackte database. DJI heeft medewerkers inmiddels wel geïnstrueerd om locatiegegevens op hun mobiele apparaten voor de zekerheid uit te schakelen.  

Meer dan een datalek

De indringers konden binnenkomen via een kwetsbaarheid in Ivanti EPMM (Endpoint Manager Mobile), software die gebruikt wordt om mobiele apparaten te beheren en beveiligen. Met behulp van de software kunnen organisaties beveiligingsupdates uitvoeren en apparaten – bijvoorbeeld in geval van diefstal – op afstand wissen. 

Het Nationaal Cyber Security Centrum (NCSC), dat de opdracht heeft de digitale weerbaarheid van Nederlandse organisaties te versterken, waarschuwt organisaties die gebruik maken van Ivanti EPMM dat de kwaadwillende indringers niet alleen data kunnen stelen maar ook controle over het systeem kunnen krijgen. NCSC: “Beide kwetsbaarheden stellen een ongeauthentiseerde aanvaller in staat om willekeurige code (…) uit te voeren op een kwetsbaar systeem.” De indringers kunnen dus eigen commando’s uitvoeren op de mobiele apparaten.    

Nog altijd toegang

Nu het lek ontdekt is, is de ellende voor DJI nog niet voorbij. Want hoewel het lek in de software door middel van een update kan worden gedicht, betekent dit niet dat de indringers geen toegang meer hebben tot het systeem. Het NCSC waarschuwt dat de indringers achterdeurtjes kunnen hebben geplaatst in de gehackte apparaten. Als dat het geval is, hebben de aanvallers nog altijd toegang tot het systeem en kunnen ze de beveiligde apparaten op afstand beheren en data stelen.  

Het NCSC raadt gehackte organisaties dan ook aan om alle apparaten waar de hackers mogelijk zijn binnen geweest opnieuw te installeren. Cybersecurity-expert Frank Breedijk: “Als een systeem eenmaal gecompromitteerd is, moet je het in feite als verloren beschouwen, omdat je niet weet of het aanvallervrij is. Dan kan je feitelijk alleen uithuilen en opnieuw beginnen.” In de praktijk betekent dat: alles wissen, opnieuw instelleren en opnieuw inrichten. 

Veel meer organisaties getroffen

DJI is niet de eerste organisatie die via deze kwetsbaarheid wordt getroffen. Op 6 februari werd al via een kamerbrief bekendgemaakt dat de Autoriteit Persoonsgegevens en de Raad voor de Rechtspraak te maken hadden met een datalek via Ivanti EPMM. 

DJI bevestigt in reactie op vragen van Argos door het lek te zijn getroffen. De oorzaak wordt op dit moment onderzocht.