‘De impact van de hack op de medewerkers, en op ons werk, is onverminderd groot’, zegt Stan Duijf, hoofd Operatiën bij de Eenheid Landelijke Opsporing en Interventies (LO) en portefeuillehouder cybercrime van de politie. ‘We zijn slachtoffer én tegelijkertijd onderzoeken we het incident waar onze organisatie zelf onderwerp van is. We kunnen ons voorstellen dat dit wat doet met het gevoel van veiligheid van collega’s, hier is aandacht voor.’
Slachtoffer worden van een cyberaanval is tegenwoordig helaas geen uitzonderlijke situatie meer, stelt Duijf. ‘Veel mensen en organisaties krijgen hiermee te maken. Eén op de vijf ondernemers bijvoorbeeld krijgt met een cyberaanval te maken. In het Cybersecuritybeeld Nederland 2024 van NCTV staat dat iedere organisatie geraakt kan worden door een cyberincident. Nederland wordt volgens de AIVD doorlopend geconfronteerd met cyberaanvallen door landen met een offensief cyberprogramma. We moeten onszelf hier nog beter tegen wapenen.’
Wat is er gebeurd?
‘Nadat hackers het politiesysteem binnengedrongen waren en gegevens hadden buitgemaakt, wilden we natuurlijk zo snel mogelijk weten hoe dit kon gebeuren, wat de impact was en wie dit gedaan heeft’, blikt Duijf terug. ‘Diverse collega’s en organisaties deden onderzoek. Team High Tech Crime (THTC) van de LO doet onderzoek naar de toedracht en de daders achter de datadiefstal.’
Niet alleen binnen de politie; ook daarbuiten zijn meerdere partijen bezig met de datadiefstal, vertelt Duijf. ‘Het gaat om publieke en private partners maar ook om opsporingsdiensten uit het buitenland. We zijn blij met deze hulp en samenwerking. Daarnaast onderzoeken ook andere Nederlandse partijen dergelijke dreigingen of ontvangen hier informatie over. De AIVD en MIVD hebben het incident geïdentificeerd en de politie hierover geïnformeerd. Ten aanzien van digitale veiligheid ondersteunt de AIVD ons op het gebied van informatiebeveiliging.’
Complex en grenzeloos
Bestrijding van cyberaanvallen is per definitie een complex geheel met actoren op verschillende niveaus, volgens Duijf. ‘Dit kan van jongeren op een zolderkamer zijn tot staatsactoren die spionage plegen. Het internet is een complex netwerk, waarbij landsgrenzen er niet toe doen. Dit maakt opsporing naar cybercrime-feiten bijna altijd een internationale aangelegenheid. Plegers van cybercrime maken vaak gebruik van afschermingstechnieken. Hierdoor kost het tijd en moeite om internationaal achter diverse sporen aan te gaan en vast te stellen wie erachter zit.’
Stand van zaken opsporingsonderzoek
‘Het opsporingsonderzoek is nog steeds in volle gang en stap voor stap komen we steeds meer te weten’, vertelt Duijf.
- Eerder werd al bekend dat de inlichtingen- en veiligheidsdiensten het zeer waarschijnlijk achten dat een statelijke actor verantwoordelijk is.
- Vermoedelijk is er gebruikgemaakt van een zogenoemde ‘pass-the-cookie-aanval’. Het doel van zo’n aanval is om toegang te krijgen tot het account of de applicatie van een gebruiker zonder dat inloggen middels een wachtwoord opnieuw vereist is. Een succesvolle aanval zorgt ervoor dat de aanvaller een actieve sessie van een account overneemt met de daarbij behorende rechten. Het verkrijgen van de toegang kan op veel verschillende manieren gebeurd zijn, zoals bijvoorbeeld door phishing. Na een succesvolle aanval kan er malware worden geïnstalleerd die data zoals cookies doorstuurt naar een hacker waarmee toegang kan worden verkregen. In dit geval weten we dat het adresboek is buitgemaakt.
- Wat de hackers gedaan hebben met de hoeveelheid buitgemaakte data, wordt nog onderzocht. ‘Op dit moment kunnen we in het belang van het onderzoek inhoudelijk verder niets delen over de bevindingen van het onderzoek’, benadrukt Duijf.’
Veiligheidsmaatregelen
De politie treft extra veiligheidsmaatregelen en doet daarbij een beroep op alle collega’s van de politieorganisatie. ‘We moeten ons allemaal bewust zijn van onze digitale kwetsbaarheid. Dat hoort bij de realiteit van vandaag, ook als politieorganisatie’, legt Duijf uit. ‘We kunnen simpelweg “de deur” niet helemaal dichtzetten, maar we kunnen ons wel zo goed mogelijk proberen te wapenen tegen cyberaanvallen. Er zijn direct na de aanval forse zichtbare en onzichtbare maatregelen genomen om ons te beschermen en we monitoren continu.’