Politie negeerde waarschuwingen in aanloop naar aanval door Russische hackers
Een Russische cybergroep slaagde er in september 2024 in om via een gehackt e-mailaccount de contactgegevens van bijna alle 65.000 Nederlandse politiemedewerkers buit te maken. De politie negeerde voorafgaand aan de aanval waarschuwingen voor beveiligingsrisico’s, waardoor de hackers gemakkelijker toegang kregen. De gestolen Global Address List (GAL) bevatte gevoelige informatie, wat leidde tot grote onrust binnen de organisatie.
Dit meldt Follow the Money (FTM) op basis van eigen onderzoek. De politie bevestigt dat niet alle aanbevolen beveiligingsmaatregelen waren uitgevoerd, ondanks een interne risicoanalyse uit 2022 die waarschuwde voor kwetsbaarheden in de Microsoft 365-cloudomgeving. Volgens de politie had de aanval 'moeilijker kunnen worden uitgevoerd' als de maatregelen wel waren genomen. Direct na het incident werden acute stappen gezet, zoals het sluiten van inactieve accounts en het versterken van wachtwoorden. Structurele verbeteringen vragen volgens de organisatie echter om 'een lange adem'.
Laundry Bear
De hack was onderdeel van een grotere campagne door de Russische groep Laundry Bear, die zich richtte op veertig westerse landen, met name EU-lidstaten en NAVO-partners. Uit een onderzoek van de AIVD en MIVD bleek dat de groep via Microsoft’s e-mailcloud op grote schaal gegevens stal, waaronder e-mails en documenten. Bij de politie kregen de hackers toegang tot een Office 365-account met daarin de contactgegevens van vrijwel alle medewerkers.
Kritiek op de politieleiding groeide na bekendmaking van het lek. Tweede Kamerlid Lilian Helder wees in 2024 op 'serieuze fouten' en stelde dat waarschuwingen waren genegeerd. Uit documenten blijkt dat de leiding van het Politiedienstencentrum, verantwoordelijk voor ICT, de risico’s had geaccepteerd zonder alle adviezen op te volgen. Cybersecurity-expert Jeroen van der Ham-de Vos (Universiteit Twente) noemt het 'onbegrijpelijk' dat de politie ondanks de waarschuwingen niet adequaat heeft gehandeld en benadrukt de risico’s van afhankelijkheid van Amerikaanse clouddiensten.
Het incident past in een bredere trend van zwakke informatiebeveiliging bij de politie. Eerdere onderzoeken toonden aan dat de organisatie regelmatig niet voldoet aan eigen richtlijnen en wetgeving, zoals het onterecht verzamelen van gegevens. De Gegevensautoriteit uitte eerder al zorgen over het gebrek aan heldere regels rondom cloudgebruik. De politie erkent dat 'naleving en controle' strenger moeten en werkt aan verbeteringen, maar geeft aan dat dit tijd kost.
Meer over Security
Over Wouter Hoeffnagel
