Dienst Justitiële Inrichtingen langdurig gehackt: personeelsgegevens op straat

In dit artikel:

De Dienst Justitiële Inrichtingen (DJI) is het slachtoffer geworden van een ernstig cyberincident waarbij aanvallers minstens vijf maanden toegang hadden tot interne systemen en mogelijk nog steeds toegang hebben. Medewerkers werden op 12 februari intern geïnformeerd. DJI, verantwoordelijk voor gevangenissen, TBS-klinieken en vreemdelingenbewaring, ontdekte na onderzoek door een externe specialist dat eerder aangenomen veiligheid niet klopte.

De gestolen gegevens omvatten onder meer zakelijke e‑mailadressen, telefoonnummers en beveiligingscertificaten van laptops, telefoons en tablets. Omdat personeel dagelijks direct met gedetineerden en TBS‑patiënten werkt, bestaat er een reëel risico op chantage of afpersing; onduidelijk is of ook locatiegegevens zijn buitgemaakt. Medewerkers kregen het dringende advies locatievoorzieningen uit te schakelen.

De aanval maakte misbruik van een kwetsbaarheid in Ivanti EPMM, een systeem voor centraal beheer van mobiele apparaten. Volgens het Nationaal Cyber Security Centrum kan die fout niet alleen datadiefstal mogelijk maken maar ook het op afstand uitvoeren van commando’s. Hoewel er inmiddels een patch is, waarschuwen experts dat hackers waarschijnlijk achterdeurtjes hebben achtergelaten; in praktijk betekent herstel vaak het volledig wissen en opnieuw installeren van alle getroffen apparaten.

DJI heeft het incident gemeld bij de Autoriteit Persoonsgegevens en start een diepgaand onderzoek naar de omvang van de schade. Ook andere organisaties, zoals de Autoriteit Persoonsgegevens zelf en de Raad voor de Rechtspraak, zijn via hetzelfde Ivanti‑lek getroffen.