Afgelopen vrijdag trad het OM voor het eerst naar buiten over de gevonden kwetsbaarheid, toen het bekendmaakte zichzelf uit voorzorg volledig te hebben losgekoppeld van het internet. Dit naar aanleiding van een signaal vanuit het Nationaal Cyber Security Centrum (NCSC) over een potentieel zorgwekkend lek in de Citrix-software. Die software stelt OM-medewerkers in staat om van buitenaf op een veilige manier de interne systemen te bereiken, bijvoorbeeld tijdens het thuiswerken.
Inmiddels is duidelijk geworden dat het herstellen van de kwetsbaarheid een complexe operatie vormt, waarbij het werk van OM’ers nog ‘weken’ verstoord zal zijn, zo laat het OM weten in een nieuw persbericht naar aanleiding van de aanhoudende problematiek. “Dit betekent dat OM-medewerkers voorlopig alleen op kantoorlocaties kunnen inloggen, niet per mail bereikbaar zijn en er een beperkte functionaliteit is van de digitale systemen.”
Prioriteit
De verstoring betekent dat OM-medewerkers met workarounds moeten werken, voorlopig niet thuis kunnen werken en moeilijk of geen toegang hebben tot digitale dossiers. Het OM meldt dat inmiddels ‘enkele zaaksystemen weer beschikbaar’ zijn, maar laat ook weten dat de oplossing voor het onderliggende probleem ‘ingewikkeld’ is en ‘tijd vergt’. Ketenpartners, waaronder de politie en Reclassering Nederland, springen in de tussentijd bij om OM-medewerkers te helpen met toegang tot bijvoorbeeld justitiële documentatie van verdachten. Via de eigen systemen blijft dat voorlopig onmogelijk.
Op vrijdag veroorzaakte de loskoppeling van het internet al direct voor uitstel van tal van zittingen op de diverse gerechten. Om verdere vertragingen en oplopende achterstanden zoveel mogelijk te beperken, zijn “voor spoedeisende processen afspraken gemaakt. De doorgang van Raadkamers en het plannen van zittingen hebben prioriteit.”
Update
Over een mogelijke grondoorzaak van de kwetsbaarheid maakt het OM vooralsnog niets bekend. Ook of er nu wel of geen sprake is van een geslaagde hack, laat het OM in het midden. Hoewel de ‘hoogbeveiligde omgeving’ van de OM-systemen niet is binnengedrongen, blijft dus onbekend of dat ook betekent dat er nergens anders in het ICT-ecosysteem gebruik is gemaakt van de kwetsbaarheid.
Een mogelijke oorzaak zou een te laat of niet geïnstalleerde update van Citrix kunnen zijn. Het NCSC adviseert alle organisaties die Citrix gebruiken sinds medio juni ‘met klem’ om die update te installeren, en kwam begin juli nog eens nadrukkelijk terug op dat advies. Zonder die update is volgens het NCSC “de kans op een toename van scanverkeer en grootschalig misbruik significant groter”. Of het OM de bewuste update tijdig en op alle apparaten heeft geïnstalleerd, is niet bekend.
