Antwoord op vragen van de leden Van der Werf, Mutluer, Michon-Derkzen, Van Nispen en Aardema over het bericht ‘Politiehack van 62.000 medewerkers is gevaarlijk: naam agent is handelswaar’
Antwoord schriftelijke vragen
Nummer: 2024D42961, datum: 2024-11-08, bijgewerkt: 2024-11-12 16:04, versie: 3
Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (ah-tk-20242025-513).
Gerelateerde personen:- Eerste ondertekenaar: D.M. van Weel, minister van Justitie en Veiligheid
Onderdeel van zaak 2024Z14837:
- Gericht aan: D.M. van Weel, minister van Justitie en Veiligheid
- Indiener: J.J. van der Werf, Tweede Kamerlid
- Medeindiener: S. Mutluer, Tweede Kamerlid
- Medeindiener: M. Aardema, Tweede Kamerlid
- Medeindiener: I.J.M. Michon-Derkzen, Tweede Kamerlid
- Medeindiener: M. van Nispen, Tweede Kamerlid
- Voortouwcommissie: TK
Preview document (🔗 origineel)
Tweede Kamer der Staten-Generaal | 2 |
Vergaderjaar 2024-2025 | Aanhangsel van de Handelingen |
Vragen gesteld door de leden der Kamer, met de daarop door de regering gegeven antwoorden |
513
Vragen van de leden Van der Werf (D66), Mutluer (GroenLinks-PvdA), Michon-Derkzen (VVD), Van Nispen (SP) en Aardema (PVV) aan de Minister van Justitie en Veiligheid over het bericht «Politiehack van 62.000 medewerkers is gevaarlijk: naam agent is handelswaar» (ingezonden 2 oktober 2024).
Antwoord van Minister Van Weel (Justitie en Veiligheid) (ontvangen 8 november 2024). Zie ook Aanhangsel Handelingen, vergaderjaar 2024–2025, nr. 366.
Vraag 1
Welke informatie is er nu exact vrijgekomen als gevolg van het datalek?1
Antwoord 1
Er is een politieaccount gehackt. Daarbij zijn de werkgerelateerde contactgegevens van alle politiemedewerkers buitgemaakt, de zogenoemde global address list met daarin de outlook-visitekaartjes. Het betreft in enkele gevallen privé(contact)gegevens die personen met een politieaccount zelf in hun visitekaartje hebben gezet. Het kan bijvoorbeeld gaan om privételefoonnummers en vermoedelijk ook om (profiel)foto’s. Ook zijn de e-mailadressen van een aantal ketenpartners buitgemaakt. Er zijn op dit moment nog altijd geen aanwijzingen dat er naast de gegevens uit de global address list nog andere gegevens zijn buitgemaakt.
Vraag 2
Hoeveel meldingen zijn er inmiddels gekomen bij het meldpunt?
Antwoord 2
Sinds het openen van het meldpunt op zaterdag 28 september tot en met vrijdag 25 oktober zijn 1.639 vragen bij het meldpunt binnengekomen.
Vraag 3
Wanneer was de korpsleiding op de hoogte van het datalek en waarom is pas in het weekend een mail gestuurd aan alle medewerkers?
Antwoord 3
In het belang van de lopende onderzoeken kan ik daar geen uitspraken over doen.
Er is op vrijdag 27 september een bericht op intranet geplaatst en korte tijd later ook extern op de politie website. Op zaterdag 28 september heeft de korpschef alle medewerkers per e-mail geïnformeerd. In een poging iedereen zorgvuldig te informeren via de gebruikelijke lijn(en), ging het nieuws sneller dan verwacht. Een deel van de politiemedewerkers moest het nieuws via de media horen. De korpschef betreurt dit.
Vraag 4
Wanneer was u op de hoogte van het datalek?
Antwoord 4
Zoals ik u in mijn brief van 27 september jl.2 heb laten weten, heeft de korpschef mij op 26 september jl. geïnformeerd.
Vraag 5, 6 en 7
Is bekend op welke wijze iemand een politieaccount heeft binnengedrongen?
Was de hack mogelijk vanwege nalatigheid van een beheerder van het betreffende politieaccount, vanwege een fout in het systeem of allebei?
Zijn er verdere conclusies naar aanleiding van het onderzoek van de politie naar de oorzaak en de impact? Zo nee, wanneer worden deze verwacht?
Antwoord 5, 6 en 7
De politie doet momenteel onderzoek naar de aard, omvang en gevolgen van het cyberincident. Het Team High Tech Crime van de Eenheid Landelijke Opsporing en Interventies doet onderzoek naar de toedracht en de daders.
Uit het onderzoek van Team High Tech Crime is inmiddels gebleken dat de daders vermoedelijk gebruik hebben gemaakt van een zogenoemde pass-the-cookie-aanval. Het doel van zo’n aanval is om toegang te krijgen tot het account of de applicatie van een gebruiker zonder dat inloggen met een wachtwoord opnieuw vereist is. Bij een succesvolle pass-the-cookie-aanval wordt een actieve sessie van een account overgenomen met de bijbehorende rechten.
Het verkrijgen van toegang kan op verschillende manier gebeurd zijn, bijvoorbeeld door phishing. Na een succesvolle aanval kan malware worden geïnstalleerd, die data, zoals cookies, doorstuurt naar de hacker.
Ik kan op dit moment geen nadere uitspraken doen over dit onderzoek.
Vraag 8, 9 en 10
Wat zijn de risico’s voor de individuele agent?
Welke maatregelen worden genomen om de risico’s te ondervangen?
Wat betekent dit datalek voor de familie van de agenten en welke maatregelen worden genomen om ook directe gezinsleden veiligheid te bieden?
Antwoord 8, 9 en 10
De politie heeft op dit moment geen aanwijzingen voor concrete dreigingen tegen politiemedewerkers of hun familie.
De politie heeft meteen maatregelen getroffen nadat zij was geïnformeerd door de inlichtingen- en veiligheidsdiensten. De maatregelen die worden getroffen, zijn afgestemd op het huidige beeld, namelijk dat de inlichtingen- en veiligheidsdiensten het zeer waarschijnlijk achten dat een statelijke actor verantwoordelijk is voor het cyberincident bij de politie en dat de daders vermoedelijk gebruik hebben gemaakt van een zogenoemde pass-the-cookie-aanval.
Het betreft onder meer ICT-maatregelen en maatregelen op het vlak van bewustwording, bijvoorbeeld een oproep tot extra waakzaamheid van politiemedewerkers op phishingmails en verdachte telefoontjes en berichten. Tevens monitort de politie of de buitgemaakte gegevens elders verschijnen. Tot slot blijft de politie alert op mogelijk nieuwe aanvallen. Daartoe monitort de politie haar systemen continu.
Vraag 11
Hoe worden agenten meegenomen en geüpdatet tijdens het onderzoek?
Antwoord 11
Politiemedewerkers worden op diverse manieren van het cyberincident op de hoogte gehouden. Op 27 september zijn medewerkers geïnformeerd via het intranet van de politie. Op 28 september, 2 oktober en 9 oktober heeft de korpschef een e-mail naar alle medewerkers gestuurd over de actuele situatie. Medewerkers worden via intranet ook gelijktijdig met deze berichtgeving aan uw Kamer geïnformeerd over de laatste stand van zaken.
Ook is op het politie-intranet een themapagina met informatie over het cyberincident ingericht. Tot slot kunnen medewerkers met zorgen en vragen terecht bij hun leidinggevende en is er een speciaal meldpunt ingericht.
Vraag 12
In de Kamerbrief van 27 september jl. (Kamerstuk 29 628, nr. 1221) staat dat aanvullende maatregelen getroffen worden als blijkt dat deze nodig zijn, maar betekent dat dat er al maatregelen genomen zijn en zo ja, welke zijn dit?
Antwoord 12
Zie het antwoord op de vragen 8 t/m 10.
Vraag 13
Zijn ook agenten die undercover werken, bij de Mobiele Eenheid of op een andere wijze verhoogd risico lopen bij het openbaar maken van hun gegevens betrokken bij dit lek en wordt er direct actie ondernomen om te voorkomen dat zij gevaar lopen of hinder ondervinden in het uitoefenen van hun functie?
Antwoord 13
De werkgerelateerde gegevens van undercoveragenten zijn afgeschermd en zijn derhalve niet opgenomen in de global address listvan outlook. Deze gegevens zijn dus niet buitgemaakt.
De werkgerelateerde outlook-gegevens van alle andere politiemedewerkers zijn wel buitgemaakt, bijvoorbeeld van politiemedewerkers die werkzaam zijn bij de Mobiele Eenheid.
Vraag 14 en 15
Op basis waarvan baseerde de Minister-President zijn uitspraak dat hij ervan uitgaat dat «mensen geen gevaar lopen» terwijl het onderzoek naar de oorzaak en de impact van het lek nog lopende is?
Blijkt dit statement dat mensen geen gevaar lopen naar aanleiding van het onderzoek ook te kloppen?
Antwoord 14 en 15
Zie het antwoord op de vragen 8 t/m 10.
Vraag 16
Welke acties lopen er om de dader van dit hack op te sporen?
Antwoord 16
Het OM is een strafrechtelijk onderzoek gestart, dat wordt uitgevoerd door het Team High Tech Crime van de Eenheid Landelijke Opsporing en Interventies van de politie. Dit team doet onderzoek naar de toedracht en de daders van de hack. Ik kan op dit moment geen nadere uitspraken doen over dit onderzoek.
Vraag 17
Wat is de reactie van de Autoriteit Persoonsgegevens op de melding van dit lek?
Antwoord 17
Zoals gemeld in mijn brief van 27 september 2024 heeft de politie melding gemaakt van het datalek bij de Autoriteit Persoonsgegevens (AP). De AP heeft in reactie daarop contact gezocht met de politie en gevraagd haar nader te informeren over de informatie die tot nu toe is verstrekt aan betrokkenen over het datalek.
Vraag 18
Waarom is aan de Kamer in eerste instantie gemeld dat er alleen werkgerelateerde contactgegevens zijn buitgemaakt, terwijl op dat moment de impact van het lek nog niet goed bekend was en later bleek uit berichtgeving van de NOS dat het datalek ook incidenteel privégegevens van agenten betreft?
Antwoord 18
Ik hecht grote waarde aan het tijdig informeren van uw Kamer. Ik heb uw Kamer op de hoogte gesteld van nieuwe inzichten op 2 en 9 oktober jl., zo snel deze uit het onderzoek van de politie naar voren kwamen. Ook over de laatste stand van zaken heb ik uw Kamer, gelijktijdig met de beantwoording van deze vragen, geïnformeerd, zodra dit bekend was.
Vraag 19
Zijn er daadwerkelijk ook privégegevens gestolen? Zo ja, hoe omvangrijk is dat precies?
Antwoord 19
Zie het antwoord op vraag 1.
Vraag 20
Zijn naar aanleiding van dit nieuwe bericht aanvullende maatregelen getroffen?
Antwoord 20
Zie het antwoord op de vragen 8 t/m 10.
Vraag 21
Bestaat het risico dat er meer privégegevens achterhaald kunnen worden indien de gestolen gegevens door hackers kunnen worden gekoppeld aan elders gelekte gegevens?
Antwoord 21
Het is theoretisch mogelijk dat de actor achter de hack de buitgemaakte informatie koppelt aan openbaar te vinden privégegevens. Daarvoor zijn op dit moment geen aanwijzingen.
Vraag 22
Waarom is ervoor gekozen om het systeem zo in te richten dat vanuit één account de contactgegevens van alle agenten makkelijk ingezien kunnen worden en is daarbij rekening gehouden met het risico op een datalek?
Antwoord 22
Zie het antwoord op de vragen 5 t/m 7.
Vraag 23
Zijn er meer systemen binnen de overheid, en met name bij de veiligheidsdiensten, de rechtspraak en het Openbaar Ministerie, die op een manier werken waarbij één account met een lage drempel een grote hoeveelheid vertrouwelijke contactgegevens kan inzien?
Antwoord 23
Het delen van contactgegevens tussen collega’s in outlook is noodzakelijk om samenwerking te faciliteren en ten behoeve van de werking van systemen, zoals mailsystemen.
Binnen de Rijksoverheid wordt ook de Rijksadresgids gebruikt. De Rijksadresgids bevat, zoals bij de meeste organisaties ook in outlook het geval is, standaard alleen de naam en e-mailadres van de betrokken collega’s.
Vraag 24
Welke maatregelen worden genomen om in het vervolg binnen de overheid, en met name bij de veiligheidsdiensten, de rechtspraak en het Openbaar Ministerie, te voorkomen dat hackers zelfs bij het binnendringen van één politieaccount niet direct een hele lijst van contactgegevens van alle medewerkers kunnen bemachtigen?
Antwoord 24
Het is de verantwoordelijkheid van de organisaties zelf om op basis van risicomanagement de nodige preventieve maatregelen te nemen. Lijsten van contactgegevens in outlook zijn echter niet te voorkomen in een zakelijke omgeving, aangezien deze noodzakelijk zijn om samenwerking te faciliteren en ten behoeve van de werking van (mail)systemen. Wel zal worden bezien welke informatie daarin zichtbaar dient te zijn.
Het Nationaal Cyber Security Centrum (NCSC) heeft partijen binnen de Rijksoverheid en vitale sectoren geïnformeerd over (generieke) maatregelen die naar aanleiding van dit incident kunnen worden getroffen.
Misbruik van deze gegevens kunnen met detectieve maatregelen ontdekt worden. Grote Rijksorganisaties hebben hiervoor een zogenaamde Security Operating Centers (SOC). Binnen de Rijksoverheid worden deze organisaties ondersteund o.a. door het programma Versterkt SOC Stelsel Rijk (VSSR).
Het hebben van een zeer volwassen SOC is evenwel geen garantie dat dergelijke zaken nooit kunnen gebeuren. Het is hierdoor ook van belang om blijvend te investeren in de digitale weerbaarheid van ICT-systemen, maar ook van medewerkers.