Politie liet ondanks waarschuwing deur open voor Russische hackers
In dit artikel:
In september 2024 drong een Russische, staatsgesteunde hackersgroep via een gehackt Office 365-account de ICT-omgeving van de Nederlandse politie binnen en roofde de contactgegevens van vrijwel alle circa 65.000 politiefunctionarissen: de Global Address List. Onderzoek van Follow the Money toont aan dat de politie al vooraf expliciet was gewaarschuwd voor de risico’s van het gebruik van Microsofts M365-cloud, maar niet alle aanbevolen beveiligingsmaatregelen heeft doorgevoerd. De politie erkent nu dat dat de aanval vergemakkelijkte.
Wat gebeurde en wie zijn de daders
De inlichtingendiensten AIVD en MIVD identificeerden de aanvallers later als een Russische, door de staat gesteunde groep die onder de naam Laundry Bear in tientallen westerse landen via Microsoft-cloudaccounts toesloeg. De hackers haalden op grote schaal e-mails, contactlijsten en soms documenten uit cloudomgevingen. Bij de politie verleenden zij toegang tot een account met Teams, waardoor ze de personeelslijst konden exporteren.
Waarschuwingen en achtergebleven maatregelen
Al in november 2022 waarschuwde een interne risicoanalyse voor de inherente gevaren van de M365-cloud, vooral omdat ‘statelijke actoren’ interesse hebben in zulke omgevingen. Die analyse stelde dat de cloud alleen in productie genomen moest worden als vooraf een reeks beveiligingsmaatregelen was ingevoerd. Uit FTM’s Woo-verkregen documenten blijkt dat die maatregelen niet volledig waren geïmplementeerd en dat controles op naleving onvoldoende effectief waren. De leiding van het Politiedienstencentrum tekende voor de risicoanalyse en nam impliciet verantwoordelijkheid door te accepteren dat de risico’s zouden gelden als adviezen niet werden opgevolgd.
Reactie en gevolgen
Direct na de hack zette de politie de Nationale Staf Grootschalig en Bijzonder Optreden op om de acute dreiging te beteugelen en aanvullende beveiligingsmaatregelen door te voeren; er ontstond grote onrust bij personeel en belangenorganisaties. Kamerlid Lilian Helder uitte stevige kritiek en stelde vragen over de verantwoordelijkheid van leidinggevenden. De politie zegt intussen dat sommige technische ingrepen met spoed zijn doorgevoerd—zoals het sluiten van inactieve mailaccounts en het aanscherpen van wachtwoordbeleid—maar wil niet precies aangeven welke maatregelen faalden uit veiligheids- en privacyoverwegingen.
Breder probleem: gemak versus veiligheid
De zaak past in een langere reeks signalen dat de politie moeite heeft met het veilig beheren van steeds grotere hoeveelheden gevoelige data. De Gegevensautoriteit noemde het zorgelijk dat de gevolgen van cloudopslag van politiedata onvoldoende waren onderzocht, mede vanwege het risico van de Amerikaanse Cloud Act (waarmee Amerikaanse autoriteiten data bij techbedrijven kunnen opeisen). Cybersecurity‑expert Jeroen van der Ham‑de Vos vindt dat een organisatie als de politie zwaarder op de rem had moeten staan: gevoelige gegevens zou je volgens hem niet in de cloud van een Amerikaans bedrijf moeten zetten maar intern moeten beheren en afschermen.
Wat nu
De politie stelt dat het verbeteren van de informatievoorziening en -beveiliging tijd vergt en dat er sindsdien strenger wordt toegezien op naleving. Tegelijk illustreert het incident de spanning tussen gebruiksgemak en kosten aan de ene kant en autonomie en veiligheid aan de andere kant. Voor toezichthouders en politiek blijft de centrale vraag of leidinggevenden voldoende hebben gedaan met eerdere waarschuwingen en welke structurele stappen nodig zijn om herhaling te voorkomen en het vertrouwen in de informatiehuishouding van de politie te herstellen.