Preview document (🔗 origineel)

---

Met deze brief informeer ik uw Kamer over de stand van zaken ten aanzien van de informatiebeveiliging van het Openbaar Ministerie (hierna: OM).

Op 17 juli jl. berichtte ik u dat het OM uit voorzorg de interne systemen heeft losgekoppeld van het internet.¹ Het OM is nog steeds offline. Aanleiding hiervoor zijn berichten van het Nationaal Cyber Security Centrum (hierna: NCSC) over kwetsbaarheden in de veelgebruikte Citrix-systemen en – op basis van de tot dusver bekende informatie – het signaal dat hiervan mogelijk misbruik is gemaakt. In deze brief bericht ik u over de huidige stand van de informatiebeveiliging bij het OM en de impact hiervan op de werkprocessen van het OM.

Ten aanzien van de systemen van het OM zijn verschillende stappen gezet sinds het ontdekken van de kwetsbaarheden. Zo zijn de systemen losgekoppeld van het internet en loopt er een strafrechtelijk onderzoek.

Daarnaast doet het OM op dit moment onderzoek om misbruik van de systemen te kunnen onderkennen of uit te kunnen sluiten en wordt gewerkt aan het zekerstellen van de systemen voordat ze weer online gaan. Het OM geeft aan dat op dit moment alle inspanningen worden verricht om verschillende digitale systemen de komende tijd stapsgewijs veilig op te starten, met als doel om alle systemen zo snel mogelijk weer operationeel te laten zijn. Dit onderzoek is ingewikkeld en vergt tijd, waardoor het OM mogelijk nog enkele weken (gedeeltelijk) offline blijft. De eerste stappen richting het operationaliseren van systemen zijn inmiddels wel gezet: enkele systemen zijn weer beschikbaar voor het raadplegen van strafdossiers. Het is op dit moment niet precies te zeggen wanneer de systemen van het OM weer volledig operationeel zijn.

Het offline halen van de systemen brengt verstoringen in het werkproces van het OM met zich mee. Zo kunnen medewerkers van het OM voorlopig alleen inloggen op kantoorlocaties, zijn zij niet per mail bereikbaar en is sprake van een beperkte functionaliteit van de systemen. Ook heeft deze situatie impact op de strafrechtketen en betrokkenen bij de keten, wat ik ten zeerste betreur. Het OM heeft mij ervan verzekerd dat het effect op de primaire processen zoals strafzaken, zittingen en de tenuitvoerlegging van straffen zo klein mogelijk wordt gehouden door het volgen van noodprocessen. Dit gebeurt in goede samenwerking met de ketenpartners. Het doorgaan van zittingen en behandelen van strafzaken hebben prioriteit en voor spoedeisende processen zijn afspraken gemaakt met ketenpartners.

De ontwikkelingen bij het OM volgen elkaar snel op en het is van belang dat de onderzoeken naar de situatie ongehinderd doorgang kunnen vinden. Tegelijkertijd hecht ik eraan uw Kamer zo volledig mogelijk te informeren. Zodra er meer informatie bekend is die ik met uw Kamer kan delen, zal ik dat doen.

Tot slot, het NCSC heeft alle organisaties die Citrix NetScaler ADC en Citrix NetScaler Getaway gebruiken opgeroepen om onderzoek te doen naar mogelijk misbruik, ook als de kwetsbaarheden reeds zijn verholpen middels de update. CIO Rijk heeft deze casuïstiek en het handelingsperspectief van het NCSC bij alle departementen middels meerdere CISO-briefings onder de aandacht gebracht, met het dringende advies dit op te volgen.

De Minister van Justitie en Veiligheid,

D.M. van Weel

---

1. Kamerstukken II, 2024-2025, 26643, nr. 1376.↩︎