Het ministerie van Binnenlandse Zaken (BZK) wilt dat Cisco snel op gesprek komt om uitleg te geven over een lek in videovergadersoftware Webex. Die kwetsbaarheid maakte metagegevens van videogesprekken van vijf Nederlandse ministers en een staatssecretaris zichtbaar voor derden. Het euvel was in mei al bekend bij de leverancier, maar deze trok 4 juni pas aan de bel bij het ministerie nadat de Duitse krant Die Zeit het had onthuld.
Voor zover nu bekend waren de naam van de host (persoonsnaam), het meeting-id, de titel en de start- en einddatum van het Webex-overleg zichtbaar voor derden. De gevonden kwetsbaarheden zijn inmiddels verholpen door de leverancier, meldt BZK.
Die Zeit berichtte over het lek en klopte aan bij het Nationaal Cyber Security Center (NCSC) in Nederland. De krant kon in Duitsland met een aantal online-vergaderingen meeluisteren. ‘Of dit in Nederland is gebeurd, kan op dit moment niet uitgesloten worden, maar lijkt niet waarschijnlijk’, schrijft BZK, dat nog onderzoekt of er in Nederland ook is afgeluisterd.
BZK neemt het hoog op en heeft Webex-leverancier Cisco om opheldering gevraagd en op korte termijn ontboden op het ministerie. In een Kamerbrief schrijft demissionair staatssecretaris van Koninkrijksrelaties en Digitalisering Alexandra van Huffelen dat ze het onacceptabel vindt dat dit heeft kunnen gebeuren en dat deze kwetsbaarheden bij de Rijksoverheid via de Duitse media tot haar zijn gekomen, in plaats van via de leverancier. ‘Ik maak mij zorgen over het lekken van informatie op deze wijze en de late reactie van de leverancier.’
Data van ministers en staatssecretaris
Er is een melding gedaan bij de Autoriteit Persoonsgegevens (AP) en personen van wie bekend is dat gegevens zichtbaar waren voor derden, zijn geïnformeerd. Voor zover BZK heeft kunnen nagaan, betreft het metagegevens van overleggen van de ministers Harbers (IenW), Helder (VWS), De Jonge (BZK), Weerwind (Rechtsbescherming) en Yesilgöz (JenV) en Van Huffelen.
Omdat de kwetsbaarheid in het systeem inmiddels verholpen is, heeft het incident geen verdere gevolgen voor het gebruik van Webex door de Rijksoverheid. ‘We blijven dit wel nauwlettend monitoren’, schrijft BZK. ‘Voor overleg over vertrouwelijke en andere extreem gevoelige informatie hanteert de Rijksoverheid geen Webex’, schrijft het ministerie. Het is niet bekend of daarmee wordt bedoeld dat die gesprekken fysiek plaats moeten vinden of via een beschermde telefoonlijn, of dat er een extra beveiligd systeem voor videovergaderen wordt gebruikt. Computable heeft op vragen daarover nog geen reactie ontvangen van BZK.
Onbruikbaar alternatief voor Webex
BZK probeerde in het verleden een alternatief voor Webex te ontwikkelen. Dat moest een videovergadertool worden voor vertrouwelijke gesprekken van bewindspersonen. Het opgeleverde prototype X-Systems, bleek onbruikbaar. De projectkosten waren toen al opgelopen tot bijna 900.000 euro en er is een rechtszaak gevoerd over belangenverstrengeling bij de aanbesteding van die videovergadertool.
