ICT-organisatie van justitie niet één, maar twee keer gehackt
Systemen bleven online, uit angst voor problemen met enkelband
De Justitiële ICT Organisatie, die onder andere de ICT beheert voor het ministerie van Justitie en Veiligheid, blijkt het afgelopen jaar niet één, maar twee keer te zijn gehackt. Indringers hadden hierdoor de mogelijkheid om door te dringen tot verschillende overheidsorganisaties, zoals de Dienst Justitiële Inrichtingen en de Dienst Terugkeer en Vertrek. Dat blijkt uit onderzoek van Argos. Interne adviezen om de systemen offline te halen werden niet opgevolgd. Eén van de redenen: het was onduidelijk of de enkelbanden van gedetineerden dan nog zouden werken.
Direct betrokkenen en cybersecurityexperts spreken van een zeer ernstige situatie, met name omdat het erop lijkt dat ook de interne firewall, die digitale indringers moest buitenhouden, niet goed functioneerde. Bovendien melden bronnen dat ook de logging en monitoring min of meer uitstond, waardoor onduidelijk is hoe ver de aanvallers daadwerkelijk tot de systemen zijn doorgedrongen.
De Justitiële ICT organisatie bevestigt de hack, maar ontkent aantijgingen over de logging en monitoring. Twee weken geleden berichtte Argos al over een andere hack bij de Justitiële ICT Organisatie: vorig jaar zijn aanvallers daar ook binnengekomen via de Ivanti EPMM software.
Dienst Justitiële Inrichtingen (DJI) gehackt, problemen nog niet voorbij
Digitale indringers hadden zeker vijf maanden lang toegang tot de systemen van de Dienst Justitiële Inrichtingen (DJI) en hebben die toegang waarschijnlijk nog steeds. Dit blijkt uit onderzoek van Argos.
Lekke thuiswerksoftware
De hackers kwamen binnen via een lek in de thuiswerksoftware Citrix. Via datzelfde lek werd afgelopen zomer ook al het Openbaar Ministerie gehackt. Het OM besloot hierop totaal offline te gaan, met als gevolg dat de hele strafrechtketen op zijn kop kwam te staan. Het Nederlands Cyber Security Center (NCSC) maakte toen al bekend dat er via Citrix “meerdere kritieke organisaties binnen Nederland succesvol aangevallen” waren.
Nu wordt duidelijk dat ook de Justitiële ICT Organisatie (JIO), die de ICT van verschillende overheidsorganisaties beheert, in de zomer van 2025 is gehackt. Dat stelt Argos vast op basis van vertrouwelijke documenten en verklaringen van meerdere bronnen die betrokken waren bij de nasleep van de hack. In tegenstelling tot het OM besloot de directie van de Justitiële ICT Organisatie om de systemen niet offline te halen.
JIO bevestigt in reactie op vragen van Argos dat er inderdaad sprake is geweest van een inbreuk op de Citrixomgeving. Een woordvoerder wijst op een kamerbrief van 12 augustus 2025 waarin toenmalig Justitieminister David van Weel al opmerkte dat er "een signaal" was dat bij de Justitiële ICT Organisatie "gebruik was gemaakt van de kwetsbaarheid in de Citrix-omgeving". Destijds voegde de minister echter direct toe dat er "geen aanwijzingen" waren "dat daadwerkelijk misbruik was gemaakt van de kwetsbaarheid". Ook meldde de minister toen dat uit onderzoek "geen signaal [is] gekomen van mogelijk misbruik in de achterliggende IT-omgevingen". Cybersecurityexpert Lisa de Wilde: “Die tekst is heel tegenstrijdig. Als een kamerlid dit leest, dan denkt die waarschijnlijk: die organisatie is niet gehackt.”
Thuiswerksoftware van de overheid zo lek als een mandje
Citrix, de thuiswerksoftware van duizenden medewerkers binnen ministeries en gemeenten, heeft geen beste reputatie: volgens cybersecurityexperts is het zo lek als een mandje. Waarom wordt deze software nog gebruikt?
Firewall zo goed als uitgeschakeld
Volgens bronnen konden de digitale inbrekers vanuit de Citrixservers juist wel onopgemerkt verder doordringen in de systemen van justitiële instellingen. Dat kwam doordat de interne firewall door een configuratiefout in feite was uitgeschakeld: de deur stond als het ware open en er werd bovendien niet of nauwelijks bijgehouden wie er binnenkwam. Hoe dit mogelijk is, is de grote vraag. Zonder extra beveilingsmaatregelen zoals een firewall en monitoring zijn organisaties erg kwetsbaar voor digitale indringers.
In reactie op vragen van Argos ontkende JIO in eerste instantie dat er sprake was van een configuratiefout, maar gaf vervolgens toch toe dat interne firewall niet optimaal functioneerde: “De binnenste firewalls (...) lieten meer verkeer door dan strikt noodzakelijk is voor de reguliere werking.” Verder meldt JIO dat "de logging heeft gewerkt zoals het hoort te werken". Volgens JIO werd dus wel voldoende bijgehouden welk verkeer er door de firewall ging. Dat is in strijd met wat bronnen aan Argos melden.
Veel organisaties (potentieel) geraakt
De impact van de hack is potentieel groot. De Justitiële ICT Organisatie beheert de ICT van - naast de eerdergenoemde organisaties - nog veel andere overheidsinstanties, zoals de Autoriteit Persoonsgegevens en de Raad voor de Kinderbescherming.
Jeroen van der Ham-de Vos, cybersecurityonderzoeker aan de Universiteit Twente: “Als die firewall uitstond is dat heel zorgelijk. Want daardoor kan een indringer proberen in te loggen op de achterliggende interne systemen.” Die systemen hebben doorgaans een zwakkere beveiliging en zijn voor ervaren hackers makkelijker te kraken. Van der Ham-De Vos: “Als je genoeg kennis en genoeg tijd hebt, dan kan je waarschijnlijk ook bij de rest van de organisatie en alle andere systemen binnenkomen.”
Solvinity beheerde de firewall
De interne firewall die JIO moest beschermen tegen indringers is van het bedrijf Solvinity. Dat bedrijf raakte de afgelopen maanden in opspraak omdat het wordt overgenomen door een Amerikaanse partij, terwijl het de cloud van DigiD beheert. Daarnaast verzorgt Solvinity ook IT-beheer en cybersecuritydiensten aan veel andere bedrijven.
Nadat de digitale inbrekers via het Citrixlek bij JIO waren binnengekomen, hadden ze volgens bronnen via de firewall van Solvinity ook toegang tot andere Solvinity-klanten die gebruik maakten van de firewall, zoals het Centraal Justitieel Incasso Bureau. Of de hackers ook daadwerkelijk zo ver zijn doorgedrongen is onbekend. Normaal gesproken zou dit bijgehouden worden door de logging in de firewall, maar daar waren dus problemen mee. Solvinity wil niet op vragen van Argos reageren.
Niet offline
Na de ontdekking van de hack waarschuwden verschillende betrokkenen voor de gevaren ervan. Zij adviseerden JIO dringend om de getroffen systemen offline te halen om te voorkomen dat de digitale inbrekers verder door zouden kunnen dringen en gevoelige gegevens buit konden maken. Desondanks besloot JIO niet offline te gaan. Bronnen melden aan Argos dat JIO niet kon inschatten in hoeverre de ICT-systemen van de betrokken overheidsorganisaties dan nog zouden werken. Een tekenend voorbeeld: JIO maakte zich zorgen over de vraag of de monitoring van enkelbanden nog wel zou functioneren.
Cybersecurityonderzoeker Jeroen van der Ham-de Vos: “Ik vind het zorgelijk dat ze niet weten of dat de enkelbanden nog zouden werken op het moment dat het systeem offline zou gaan. Als je daar geen vertrouwen in hebt, dan heb je echt geen vertrouwen in je eigen systemen.”
In reactie op vragen van Argos meldt JIO dat het Ministerie van Justitie en Veiligheid destijds heeft geadviseerd om “de ICT-omgeving niet af te afkoppelen van het internet”.
JIO voegt toe: “gezien de verregaande operationele consequenties voor de opdrachtgevers is daarom besloten in dit geval niet af te koppelen. Wel is onmiddellijk de kwetsbaarheid verholpen en een onderzoek ingesteld. (...) Voor extra zekerheid is de monitoring en detectie op de systemen structureel versterkt.”
Chaos in de strafrechtketen
In tegenstelling tot JIO besloot het OM afgelopen zomer wel om de systemen offline te halen én om de Citrixservers in zijn geheel uit te zetten. Zij volgden daarbij het veiligheidsadvies van het NCSC op. Deze maatregel veroorzaakte wel veel chaos in de strafrechtketen. Advocaten en officieren van justitie konden niet bij processtukken, onderzoeken liepen vertraging op en ook werden allerlei andere organisaties binnen de strafrechtketen geraakt: screenings in de kinderopvang lagen stil, Verklaringen Omtrent Gedrag konden niet worden afgegeven en ook organisaties als Slachtofferhulp en Reclassering kampten met problemen met de informatievoorziening. Als JIO offline was gegaan, had dit waarschijnlijk voor vergelijkbare problemen gezorgd.
Kamer wordt niet geïnformeerd over uitkomsten van het onderzoek
De Justitiële ICT Organisatie schakelde, kort nadat de hack gedetecteerd was, cyberbeveiligingsbedrijf Fox-IT in om onderzoek te doen naar de hack. JIO laat weten dat de resultaten van het onderzoek alleen met JIO zelf zijn gedeeld, en “vanwege veiligheidsoverwegingen” niet naar de Tweede Kamer zullen worden gestuurd.
Directeur JIO vertrekt
Uit interne bronnen blijkt dat Marcel Hoogland, die sinds 2022 de algemeen directeur was bij JIO, op 28 februari is vertrokken. Op vragen of zijn vertrek verband houdt met de tekortschietende informatiebeveiliging, wil JIO geen mededelingen doen omdat het over “individuele personeelsaangelegenheden” gaat.
In de uitzending van zaterdag 14 maart (14:00) op NPO Radio 1 vertelt Argos-redacteur Saar Slegers (dossier digitale veiligheid) meer over deze hack en de mogelijke gevolgen voor de systemen van de Justitiële ICT-organisatie.
de Justitiële ICT Organisatie (JIO)
Argos: Wij constateren dat kwaadwillende actoren in de zomer van 2025 hebben kunnen binnendringen bij JIO via een kwetsbaarheid in de Citrix Netscaler. Wat is daarop uw reactie?
JIO: Zoals aangegeven in de kamerbrief van 12 augustus 2025 is ook bij JIO gebruik gemaakt van de kwetsbaarheid. Het signaal van gebruik van de kwetsbaarheid in de Citrix-omgeving van de JIO had betrekking op het voorportaal dat afnemende organisaties beveiligde toegang geeft tot hun IT-omgeving. Uit veiligheidsoverwegingen doen we geen uitspraken over specifieke aanvalspaden of tijdvakken.
In reactie op vervolgvragen van Argos laten JIO en het ministerie van Justitie en Veiligheid weten dat dit betekent dat er inderdaad sprake is geweest van een inbreuk in de Citrix-omgeving:
JIO: Zoals we letterlijk in de kamerbrief schrijven is ook bij de JIO gebruik gemaakt van de kwetsbaarheid in de Citrix-omgeving. Het signaal van gebruik van de kwetsbaarheid in de Citrix-omgeving van de JIO had betrekking op het voorportaal dat afnemende organisaties beveiligde toegang geeft tot hun IT-omgeving. De kwetsbaarheid is daarna snel verholpen en een onderzoek ingesteld. Uit dit onderzoek is geen signaal gekomen van mogelijk misbruik in de achterliggende IT-omgevingen.
Argos: Op welke datum vond het eerste misbruik van deze kwetsbaarheid bij JIO plaats?
JIO: Uit veiligheidsoverwegingen doen we geen uitspraken over specifieke aanvalspaden of tijdvakken.
Argos: Op welke datum constateerde JIO dat aanvallers misbruik hadden gemaakt van deze kwetsbaarheid bij JIO?
JIO: Uit veiligheidsoverwegingen doen we geen uitspraken over specifieke aanvalspaden of tijdvakken. Zoals aangegeven in de kamerbrief van 12 augustus 2025 hebben we op advies van het NCSC onderzoek gedaan omdat we van het NCSC signaal hadden ontvangen dat bij JIO gebruik is gemaakt van de kwetsbaarheid.
Argos: Wij constateren dat door een configuratiefout in de firewall (die wordt beheerd door Solvinity) de monitoring en logging van de firewall uitstond. Hierdoor konden de indringers vanuit de demilitarized zone (DMZ) onopgemerkt doordringen tot de ICT-systemen van JIO en de klanten / opdrachtgevers van JIO. Wat is daarop uw reactie?
JIO: JIO is geconfronteerd met een zero-day kwetsbaarheid. De logging en monitoring van de firewall heeft niet uit gestaan. Uit onderzoek is gebleken dat er geen sporen zijn van ongeautoriseerd gebruik (compromitatie) buiten de Citrix-server in de DMZ omgeving.
In reactie op vervolgvragen van Argos lichten en het ministerie van Justitie en Veiligheid dit antwoord verder toe:
JIO: De logging van zowel de buitenste als binnenste firewalls heeft niet uitgestaan en was dan ook beschikbaar voor het onderzoek. De logging van de Netscaler heeft een lage retentietijd (dat wil zeggen, de tijd waarin logging in het systeem kan worden opgeslagen). Dit komt door de aard van het systeem, dat niet ingericht is voor het opslaan van logging. Naar aanleiding van het onderzoek naar de Netscaler kwetsbaarheid wordt de logging doorgeleid naar het SIEM en daarmee is de retentietijd veel langer. Dus de logging heeft gewerkt zoals het hoort te werken.
Argos: Hoe kan het dat JIO niet doorhad dat de firewall verkeerd was geconfigureerd?
JIO: Uit onderzoek is gebleken dat er geen sprake van een configuratiefout in de firewall.
Op vervolgvragen van Argos stellen JIO en het ministerie van Justitie en Veiligheid dit antwoord bij:
JIO: De buitenste firewall, dat is de firewall die tussen het internet en de Netscaler is geplaatst is juist geconfigureerd. De binnenste firewalls, die tussen de Netscaler en interne systemen zijn geplaatst, lieten meer verkeer door dan strikt noodzakelijk is voor de reguliere werking. Maar dat verkeer bleef wel binnen zijn eigen veiligheidszone. Dit is uit het onderzoek naar aanleiding van de kwetsbaarheid in Citrix Netscaler naar voren gekomen.
Argos: Hoe lang stond die firewall al verkeerd geconfigureerd?
JIO: Zie antwoord vraag 5.
Argos: Wat is het beleid van JIO ten aanzien van monitoring en logging? Voert JIO periodieke controles uit op de firewalls en andere vergelijkbare security-systemen?
JIO: JIO hanteert monitoring- en loggingskaders die aansluiten bij rijksbrede normen, waaronder de Baseline Informatiebeveiliging Overheid (BIO). Uit veiligheidsoverwegingen treden we niet in detail over frequentie, scope of inrichting van controles.
Argos: Wat weet JIO over de identiteit van de indringers? Klopt het dat de veiligheidsdiensten hebben gewaarschuwd dat het waarschijnlijk gaat om een statelijke actor?
JIO: Het is niet aan ons om uitspraken te doen over daders, dit is aan opsporingsdiensten of veiligheidsdiensten.
Argos: Welke informatie heeft JIO over deze ICT-inbreuk gedeeld met haar opdrachtgevers?
JIO: JIO informeert betrokken partijen conform de toepasselijke wettelijke en contractuele kaders.
Argos: Wat heeft JIO gedaan om te voorkomen dat gevoelige data gelekt zouden worden?
JIO: Systemen en processen horen te zijn ingericht conform rijksnormen (waaronder de BIO). JIO heeft de CIO van JenV geadviseerd de ICT-omgeving v niet af te afkoppelen van het internet. Er waren op dat moment geen aanwijzingen dat daadwerkelijk misbruik was gemaakt van de kwetsbaarheid. Daarom en mede gezien de verregaande operationele consequenties voor de opdrachtgevers is daarom besloten in dit geval niet af te koppelen. Wel is onmiddellijk de kwetsbaarheid verholpen en een onderzoek ingesteld. Uit dit onderzoek is geen signaal gekomen van mogelijk misbruik in de achterliggende IT-omgevingen. Voor extra zekerheid is de monitoring en detectie op de systemen structureel versterkt.
Argos: Verschillende betrokkenen hebben gewaarschuwd voor de risico’s van de hack en hebben JIO geadviseerd de ICT-systemen offline te halen. Wij constateren dat JIO dit niet heeft gedaan. Waarom heeft JIO dit advies niet opgevolgd?
JIO: Besluiten worden gebaseerd op een actuele risicoafweging, met oog voor veiligheid, impact en continuïteit van de dienstverlening. Zie daarnaast bovenstaand antwoord.
Argos: Verschillende bronnen wijzen op het risico dat enkelbanden niet meer (volledig) zouden functioneren als JIO offline zou gaan. Erkent u dit risico? Welke rol speelde dit risico in het besluit om de organisatie niet offline te halen? Weet u inmiddels of de enkelbanden in zo’n geval inderdaad niet meer (volledig) zouden functioneren?
JIO: Zie antwoord vraag 10.
Argos: Fox IT heeft onderzoek gedaan naar aanleiding van de hack. Klopt het dat het (concept)rapport van Fox IT met u gedeeld is? Waarom is er nog geen definitief rapport? Waarom zijn de resultaten niet met de Tweede Kamer gedeeld?
JIO: De onderzoekers delen de onderzoeksbevindingen met de opdrachtgever JIO. De inhoud wordt vanwege veiligheidsoverwegingen niet gedeeld. Ook niet met de Tweede Kamer.
In reactie op vervolgvragen van Argos lichten JIO en het ministerie van Justitie en Veiligheid dit antwoord verder toe:
JIO: De informatie uit het onderzoek kan niet publiekelijk gedeeld worden i.v.m. met vertrouwelijke informatie.
Argos: Wij concluderen dat de indringers die via het Citrix-lek zijn binnengekomen mogelijk nog steeds mee kunnen kijken in de systemen van JIO en de klanten van JIO. Kunt u uitsluiten dat de indringers nog steeds mee kunnen kijken?
JIO: In algemene zin nemen we dreigingssignalen zeer serieus, handelen we volgens vastgesteld incidentresponsbeleid. Waar nodig zijn mitigerende maatregelen getroffen en is monitoring verscherpt.
Argos: Uit onze bronnen blijkt dat algemeen directeur Marcel Hoogland per 1 maart vertrokken is bij JIO. Waarom is hij vertrokken? Houdt zijn vertrek verband met de tekortschietende informatiebeveiliging van JIO?
JIO: Over individuele personeelsaangelegenheden doet JIO geen mededelingen.
het Ministerie van Justitie en Veiligheid (JenV)
Argos: Was de minister van Justitie en Veiligheid in de zomer van 2025 op de hoogte dat JIO was gehackt via (een of meerdere) kwetsbaarheden in Citrix Netscalers? Zo ja, vanaf wanneer?
JenV: Zoals te lezen in de kamerbrief van 12 augustus was de minister op de hoogte van het signaal van gebruik van de kwetsbaarheid in de Citrix-omgeving van de JIO dat betrekking had op het voorportaal dat afnemende organisaties beveiligde toegang geeft tot hun IT-omgeving. De minister is geïnformeerd op 17 juli 2025.
Argos: Wij constateren dat aanvallers, die via de kwetsbaarheid in de Netscalers waren binnengedrongen tot de demilitarized zone (DMZ), door de verkeerde configuratie van de firewall van Solvinity toegang hadden tot zowel de ICT-systemen van opdrachtgevers van JIO, als tot andere klanten van Solvinity. Was de minister in de zomer van 2025 op de hoogte van falende firewall en de gevolgen daarvan? Zo ja, vanaf wanneer?
JenV: JIO is geconfronteerd met een zero-day kwetsbaarheid. De logging en monitoring van de firewall heeft niet uit gestaan. Uit onderzoek is gebleken dat er geen sporen zijn van ongeautoriseerd gebruik (compromitatie) buiten de Citrix-server in de DMZ omgeving. De minister is geïnformeerd op 12 juli 2025.
Argos: JIO beheert ook (een deel van) de ICT van het ministerie van J&V. In hoeverre is J& V voor haar ICT afhankelijk van JIO?
JenV: JIO is een van de dienstverleners van JenV en de mate van afhankelijkheid is daarmee beperkt.
Argos: Wij concluderen dat de aanvallers via JIO / de verkeerd geconfigureerde firewall van Solvinity ook toegang had tot de ICT-systemen van J&V. Hoe schatte de minister de risico’s hiervan in?
JenV: Er is geen sprake geweest van verkeerd geconfigureerde firewall van Solvinity.
Argos: Is de minister ingelicht over de – vermoedelijke – identiteit van de hackers? Klopt het dat de veiligheidsdiensten hebben gewaarschuwd dat het gaat om een statelijke actor?
JenV: Het is niet aan ons om uitspraken te doen over daders, dit is aan opsporingsdiensten of veiligheidsdiensten.
Argos: Was de minister betrokken bij het besluit van JIO om de ICT-systemen in nasleep van de hack niet offline te halen? Zo ja, waarom heeft de minister besloten de systemen niet offline te halen?
JenV: Besluiten worden gebaseerd op een actuele risicoafweging, met oog voor veiligheid, impact en continuïteit van de dienstverlening. Over specifieke operationele keuzes doen we geen mededelingen in het openbaar. Uitleg staat ook in de brief en nota: Er heeft een onderzoek bij de JIO plaatsgevonden naar aanleiding van een signaal van gebruik van de kwetsbaarheid in de Citrix-omgeving van de JIO in het voorportaal dat afnemende organisaties beveiligde toegang geeft tot hun IT-omgeving. - Uit dit onderzoek is geen signaal gekomen van mogelijk misbruik in de achterliggende IT-omgevingen. Voor extra zekerheid is de monitoring en detectie op de systemen structureel versterkt.
Argos: Verschillende bronnen wijzen op het risico dat enkelbanden niet meer (volledig) zouden functioneren als JIO offline zou gaan. Erkent u dit risico? Welke rol speelde dit risico in het besluit om de organisatie niet offline te halen?
JenV: JIO heeft overwogen of het afkoppelen van de ICT-omgeving van het internet nodig was. Er waren op dat moment geen aanwijzingen dat daadwerkelijk misbruik was gemaakt van de kwetsbaarheid. Daarom en mede gezien de verregaande operationele consequenties voor de opdrachtgevers is daarom besloten in dit geval niet af te koppelen. Wel is onmiddellijk de kwetsbaarheid verholpen en een onderzoek ingesteld. Uit dit onderzoek is geen signaal gekomen van mogelijk misbruik in de achterliggende IT-omgevingen. Voor extra zekerheid is de monitoring en detectie op de systemen structureel versterkt.
Argos: Welke acties heeft het ministerie genomen om te voorkomen dat de indringers toegang zouden kunnen blijven houden tot de ICT-systemen van het ministerie en de andere opdrachtgevers van JIO? Kunt u uitsluiten dat de indringers nu geen toegang meer hebben tot deze systemen?
JenV: Na ontdekking van het gebruik van de kwetsbaarheid is onmiddellijk de kwetsbaarheid verholpen en een onderzoek ingesteld. Uit dit onderzoek is geen signaal gekomen van mogelijk misbruik in de achterliggende IT-omgevingen. Voor extra zekerheid is de monitoring en detectie op de systemen structureel versterkt. In algemene zin nemen we dreigingssignalen zeer serieus, handelen we volgens vastgesteld incidentresponsbeleid. Waar nodig zijn mitigerende maatregelen getroffen en is monitoring verscherpt.
de Autoriteit Persoonsgegevens (AP)
AP: Na berichten over mogelijk misbruik van kwetsbaarheden in Citrix bij een aantal andere organisaties, vorig jaar zomer, werd besloten tot een grondig onderzoek. In dit onderzoek, uitgevoerd door Fox-IT, zijn geen aanwijzingen gevonden dat de Citrix Netscaler van de AP is gecompromitteerd. Het onderzoek leverde ook geen sporen op van compromittering binnen de netwerken van de AP. Kortom, uit onderzoek kwamen geen aanwijzingen dat de systemen van de AP zijn gecompromitteerd.
Bescherming van de gegevens van de AP heeft de voortdurende aandacht van de AP. Na een cyberincident vindt er een evaluatie plaats en worden digitale beschermingsmaatregelen en menselijke werkwijzen tegen het licht gehouden. Als verbeteringen nodig blijken te zijn dan spant de AP zich daar voor in. De AP staat hierbij in contact met betrokken partijen, zoals bijvoorbeeld JIO.
de Raad voor de Kinderbescherming (RvdK)
Argos: Heeft JIO u in de zomer van 2025 geïnformeerd over de Citrixhack en de verkeerd geconfigureerde firewall?
RvdK: De Raad voor de Kinderbescherming is binnen 24 uur geïnformeerd door JIO over de Citrixhack. JIO heeft geen mededelingen gedaan over een verkeerd geconfigureerde firewall.
Argos: Heeft u onderzocht of de kwaadwillenden ook daadwerkelijk zijn doorgedrongen tot de systemen van uw organisatie?
RvdK: Dit is gedaan in samenspraak met JIO, zij waren verantwoordelijk voor het onderzoek. Wij zijn hier wel bij betrokken.
Argos: Zo ja, wat kwam er uit dit onderzoek?
RvdK: Uit het onderzoek kwam dat de Raad voor de Kinderbescherming geen onderdeel was van de hack.
Argos: Zo nee, kunt u uitsluiten dat kwaadwillenden via deze route zijn binnengekomen?
RvdK: Op basis van het onderzoeken, hebben we geen indicatie dat er via deze route kwaadwillenden zijn binnengekomen.
de Dienst Terugkeer en Vertrek (DTV)
Argos: Heeft JIO u in de zomer van 2025 geïnformeerd over de Citrixhack en de verkeerd geconfigureerde firewall?
DTV: In de zomer van 2025 is melding gemaakt van een kwetsbaarheid in Citrix-systemen. Organisaties zijn hierover via de gebruikelijke kanalen geïnformeerd. Zo ook de Dienst Terugkeer en Vertrek.
Argos: Heeft u onderzocht of de kwaadwillenden ook daadwerkelijk zijn doorgedrongen tot de systemen van uw organisatie?
DTV: Naar aanleiding van de kwetsbaarheid in Citrix-systemen is onderzoek verricht naar mogelijke impact op de systemen. Daar JIO de IT-systemen van DTenV beheert, is dit onderzoek uitgevoerd door JIO. Daarbij is vastgesteld dat er sprake is geweest van een inbreuk in de Citrix-omgeving. De kwetsbaarheid is inmiddels verholpen, aangetroffen webshells zijn verwijderd en aanvullende monitoring is ingericht.
Argos: Zo ja, wat kwam er uit dit onderzoek?
DTV: Uit de tot nu toe uitgevoerde onderzoeken is gebleken dat er sprake is geweest van een inbreuk via de Citrix-omgeving. De kwetsbaarheid is inmiddels verholpen en aangetroffen webshells zijn verwijderd. Er is op dit moment geen ander verdacht gedrag geconstateerd en er is aanvullende monitoring ingericht.
Argos: Zo nee, kunt u uitsluiten dat kwaadwillenden via deze hack zijn binnengekomen?
DTV: Niet van toepassing.
het Centraal Justitieel Incassobureau (CJIB)
Argos:
- Hebben het bedrijf Solvinity of de Justitiële ICT organisatie u in de zomer van 2025 geïnformeerd over de mogelijke gevolgen van de Citrixhack bij JIO en de verkeerd geconfigureerde firewall van Solvinity?
- Heeft u onderzocht of de kwaadwillenden ook daadwerkelijk zijn doorgedrongen tot de systemen van uw organisatie?
- Zo ja, wat kwam er uit dit onderzoek?
- Zo nee, kunt u uitsluiten dat kwaadwillenden via deze route zijn binnengekomen?
CJIB:
Wanneer het CJIB gebruik maakt van in overleg met het ministerie gebruikte programma’s en software, dan is geregeld dat inbreuken (door)gemeld moeten worden. Over eventuele meldingen doen wij verder geen mededelingen. Eventuele inbreuken op de CJIB-systemen worden altijd aan onze opdrachtgevers doorgemeld.