Op 19 maart ontdekte het ministerie van Financiën dat een actor ongeautoriseerde toegang kreeg tot een deel van de ict-systemen. Sinds de ontdekking van het cyberincident is er achter de schermen hard gewerkt aan het weer veilig openstellen van de systemen. Inmiddels zijn de laatste restricties rond de systemen van het beleidsdepartement opgeheven en zijn alle systemen weer online en toegankelijk. Vandaag heeft minister Heinen de Kamer middels een brief ingelicht over het verloop van het incident.
Na ontdekking kon het ministerie al snel vaststellen dat de impact zich beperkte tot de systemen van het beleidsdepartement en dat de dienstverlening van de Belastingdienst, Douane en Toeslagen niet was geraakt. De belangrijke primaire processen van het ministerie, zoals de voorjaarsbesluitvorming, hebben ondanks het incident doorgang kunnen vinden.
Verloop inbraak
Inmiddels is duidelijk hoe de digitale inbraak is verlopen. Het incident had een relatie met de systemen die voor Financiën draaien bij een specifieke leverancier. In overleg met het ministerie heeft de leverancier dezelfde dag maatregelen genomen en bepaalde voorzieningen dichtgezet. De actor had toegang tot een zwakke plek in de software die tot dat moment onbekend was en waarvoor (nog) geen beveiligingsupdates bestonden. Met deze kennis heeft de leverancier maatregelen getroffen. De inbraak heeft, mede doordat er tijdig maatregelen zijn genomen, geen schade aan de systemen tot gevolg gehad. Wel is het aannemelijk dat er door de inbraak gegevensdiefstal heeft plaatsgevonden. De betrokken medewerkers zijn hierover geïnformeerd en begeleid om de impact van het lek zo veel mogelijk te beperken. Het is naar verwachting niet te reconstrueren om welke bestanden het exact gaat, omdat in dit soort situaties de actoren hun sporen vaak goed weten te wissen.
Aanpak incident
Binnen het ministerie werd de interne crisisorganisatie geactiveerd. Dit bestond uit een dagelijks overleg met technische experts, en een bestuurlijke tafel die dagelijks bijeen kwam en regie voerde. Vanaf het begin werd hierbij samen opgetrokken met de leverancier, met externe beveiligingsexperts en met het Nationaal Cyber Security Centrum (NCSC). Ook heeft het ministerie contact opgenomen met Team High Tech Crime (THTC) van de politie en is er aangifte gedaan. Er is vanuit veiligheidsoverwegingen extern beknopt gepubliceerd over het incident op het ministerie.
Maatregelen
Onder meer zijn zo snel mogelijk bepaalde voorzieningen dichtgezet om het risico op schade te beperken. Door het besluit om verbindingen naar bepaalde applicaties uit te zetten, konden medewerkers en externe partners tijdelijk niet meer inloggen bij voorzieningen zoals schatkistbankieren. Na forensisch onderzoek en controle op de data-integriteit bleek dat er geen indicatoren waren om aan te nemen dat de applicaties aangetast waren en dat deze met extra beveiligingschecks weer in gebruik genomen konden worden. Hierdoor konden de geraakte werkprocessen grotendeels weer doorgang vinden. Een andere maatregel die het ministerie heeft getroffen is dat de wachtwoorden van alle medewerkers van het beleidsdepartement preventief zijn gereset.
Toekomst
Het ministerie evalueert het incident en verwerkt de inzichten in de continuïteits- en crisisplannen. Hoewel concrete maatregelen niet publiekelijk deelbaar zijn, zijn er uit het incident veel lessen te halen hoe het ministerie zich zal willen organiseren bij incidenten in de toekomst. De multidisciplinaire samenwerking tussen informatiebeveiligingsexperts, medewerkers met kennis van de primaire processen en externe specialisten was een aanpak die goed heeft gewerkt.