In het kader van crisismanagement heeft het Openbaar Ministerie (OM) vier teams actief die zich bezig houden met de gevolgen van de hack. Verder is het OM een strafrechtelijk onderzoek begonnen. Of het gaat om een Russische aanval is vooralsnog niet bevestigd.
Van het kwartet onderzoekt het Incident Response Team (IRT) wat de consequenties zijn van wat er – technisch – is gebeurd bij de hack. Dat onderzoek is deels extern gericht – hoe kom je van buiten in de OM-omgeving? – en deels intern: als iemand ‘binnen’ is (geweest), wat kan er dan gebeuren?
Het Business Impact Team (BIT) onderzoekt en draagt oplossingen aan om het werk bij het OM zo goed als mogelijk door te laten gaan en het Business Recovery Team (BRT) is bezig om een situatie te creëren waarin het OM de diensteverlening weer heeft hersteld. Daarbij gaat het met name om het herstellen en mogelijk opnieuw opbouwen van de gehele technische infrastructuur.
En dan is er nog het Business Team, waar gekeken wordt naar de primaire processen, zoals de gegevensuitwisseling met partners als de Rechtspraak, het CJIB, en Slachtofferhulp Nederland.
Volgens het OM is het onderzoek naar de kwetsbaarheid in de Citrix-omgeving complex. Daarom wordt stapsgewijs gekeken wanneer welke digitale systemen weer veilig kunnen worden opgestart, en op welke manier.
Russische hack?
Het OM heeft op 17 juli uit voorzorg de interne systemen losgekoppeld van het internet. Aanleiding hiervoor waren berichten van het Nationaal Cyber Security Centrum (NCSC) over kwetsbaarheden in de veelgebruikte Citrix-systemen, en – op basis van de tot dusver bekende informatie – het signaal dat hiervan mogelijk misbruik is gemaakt. Het AD berichtte dat er signalen zijn van een Russische hack maar het OM meldt in een verklaring ‘pas met zekerheid te kunnen zeggen of er gevolgen voor de data zijn, als het onderzoek daartoe aanleiding geeft.’
Er loopt inmiddels een strafrechtelijk onderzoek, onder leiding van het Landelijk Parket. Ook heeft het OM een melding gedaan bij de Autoriteit Persoonsgegevens, in verband met een mogelijk datalek.
Aanpassingen
De staande magistratuur zegt verder in het communiqué dat het alle werkzaamheden zo goed als mogelijk laat doorgaan, met de nodige aanpassingen. Officieren van justitie kunnen wel in de zaaksystemen, wat betekent dat ze de strafdossiers kunnen lezen en printen.
Verder wordt er geprobeerd om zoveel mogelijk zittingen door te laten gaan. Of en hoeveel zaken geen doorgang kunnen vinden, is nu niet te zeggen. Die inventarisatie wordt gemaakt.
Je kan er tien teams op zetten maar als de aanvallers de data al naar buiten hebben weten te transporteren is het water naar de zee dragen.
Never waste a good crisis vergeet het OM even dat ze nalatig waren want NCSC wees op de feiten. Een strafrechtelijk onderzoek zonder bestuurlijke zelfreflectie is als de slager die zijn eigen vlees keurt. De damage control met vier teams overtuigd niet echt omdat het de spreekwoordelijke mosterd na de maaltijd is. Want één van de verwijten tegen Citrix is de gebrekkige of ouderwetse logging waardoor het OM in het duister tast aangaande de forensics. Een euvel dat algemeen bekend is waardoor het OM niet kan voldoen aan de compliance eisen zoals NIS2, ISO 27001 of Zero Trust.
Vier teams maar geen antwoorden hebben we het niet over water naar de zee dragen maar over de gehele strafrechtketen naar haar graf dragen omdat uit de persverklaring blijkt dat het OM eigenlijk geen idee heeft wat erin en eruit gaat omdat de toegangscontrole niet op orde is. De integriteit van het zaaksysteem staat ter discussie waardoor de Chain of Custody discutabel wordt, de strafdossiers lezen en printen gaat tenslotte om beperkte rechten. Een fundamenteel recht is namelijk het recht om vergeten te worden waaraan het OM op dit moment blijkbaar niet kan voldoen.