De Dienst Justitiële Inrichtingen (DJI) heeft bevestigd dat zij slachtoffer is geworden van een datalek en een groter cyberincident. In een interne briefing aan medewerkers op 12 februari meldde de organisatie dat aanvankelijk de indruk bestond dat de gegevens veilig waren, maar dat nader onderzoek door een externe partij anders uitwees.
Volgens DJI zijn onder meer e-mailadressen, telefoonnummers en beveiligingscertificaten van zakelijke mobiele telefoons, laptops en tablets uitgelekt. De organisatie heeft aangekondigd het incident te zullen melden bij de Autoriteit Persoonsgegevens.
Wat er precies is gelekt en waarom dat zorgwekkend is
Het vrijgekomen materiaal bestaat primair uit contactgegevens en certificaten die gebruikt worden voor de beveiliging van zakelijke apparaten. Voor medewerkers van DJI betekent dit een verhoogd risico: vanwege de aard van hun werk kunnen contactgegevens misbruikt worden voor chantage of intimidatie.
Voormalig gevangenisdirecteur Klaas Brandsma benadrukte dat betrokkenen, zoals directeuren en afdelingshoofden, beslissingen nemen die soms tot onvrede leiden bij gedetineerden. Het beschikbaar zijn van contactinformatie kan daardoor direct de persoonlijke veiligheid van personeel beïnvloeden.
Technische oorzaak: kwetsbaarheid in Ivanti EPMM
Onderzoek wijst erop dat de ongerechtvaardigde toegang tot systemen is gerealiseerd via een kwetsbaarheid in Ivanti EPMM (Endpoint Manager Mobile), een veelgebruikte oplossing om mobiele apparaten centraal te beheren en te beschermen. Met deze software kunnen organisaties updates uitrollen, apparaten op afstand wissen en instellingen afdwingen.
Het Nationaal Cyber Security Centrum (NCSC) waarschuwde dat de betreffende kwetsbaarheden aanvallers in staat stellen willekeurige code uit te voeren op een kwetsbaar systeem, waardoor kwaadwillenden niet alleen data kunnen stelen maar mogelijk ook volledige controle over apparatuur verkrijgen.
Gevolgen voor beheer en herstel
Het dichten van de kwetsbaarheid met een software-update is slechts een eerste stap. Het NCSC wijst erop dat aanvallers vaak extra achterdeurtjes installeren: hardnekkige toegangspaden waarmee ze ook ná een patch in systemen kunnen blijven. Daarom adviseren cybersecurityspecialisten om getroffen apparaten volledig te wissen en opnieuw te installeren. Expert Frank Breedijk stelde dat een eenmaal gecompromitteerd systeem in de praktijk als verloren moet worden beschouwd, en dat herstel meestal betekent: alles opnieuw inrichten en opnieuw beginnen.
Reikwijdte en context: niet de eerste getroffen organisaties
Dit incident bij DJI is onderdeel van een bredere reeks aanvallen die hetzelfde probleem uitbuiten. Op 6 februari werd al publiekelijk bekend dat zowel de Autoriteit Persoonsgegevens als de Raad voor de Rechtspraak getroffen waren via dezelfde Ivanti-kwetsbaarheid. DJI bevestigde op vragen dat ook zij door het lek zijn geraakt en dat de precieze oorzaak nog wordt onderzocht. Het NCSC heeft organisaties die Ivanti EPMM gebruiken opgeroepen extra waakzaamheid te betrachten en hun systemen te onderzoeken op mogelijke verdere compromittering.
Maatregelen en praktische adviezen
DJI heeft medewerkers geïnstrueerd om voor de zekerheid de locatievoorzieningen op werktelefoons uit te schakelen, omdat onduidelijk is of ook locatiegegevens uit de gehackte database toegankelijk waren. Daarnaast geldt het advies van het NCSC: identificeer alle potentiële geïnfecteerde apparaten, verwijder verdachte toegangspunten, voer een grondige forensische analyse uit en overweeg volledige herinstallatie. Voor organisaties blijft het cruciaal om incidentresponsplannen te hebben en externe specialisten in te schakelen bij complexe inbraken.
Nabijheid van fysiek risico: incidenten naast cyberveiligheid
Hoewel het datalek de digitale veiligheid onder druk zet, vinden er in de dagelijkse praktijk ook fysieke incidenten plaats die de kwetsbaarheid van het systeem benadrukken. Zo werd onlangs in Zwolle een gedetineerde tijdens een ziekenhuisbezoek vaart geblust na een ontsnappingspoging; een waarschuwingsschot werd gelost en de man werd snel opnieuw aangehouden. Zulke gebeurtenissen tonen aan dat personeelsveiligheid op meerdere fronten beschermd moet worden: zowel fysiek als digitaal.
Slotbeschouwing
Het DJI-incident onderstreept dat moderne beveiliging zowel technische borging als organisatorische maatregelen vereist. Het lek via Ivanti EPMM laat zien dat één kwetsbaarheid verstrekkende gevolgen kan hebben, vooral in sectoren waar medewerkers extra kwetsbaar zijn voor het misbruik van persoonlijke gegevens. Herstel vergt niet alleen patches, maar ook rigoureuze opschoning en blijvende aandacht voor zowel digitale als fysieke veiligheidsprocedures.