Cyberaanval op het OM laat zien hoe kwetsbaar we zijn
In de serie Cracked by Jordens kijken we naar de cyberveiligheid van consumenten en bedrijven in Nederland.
Published on July 30, 2025
Openbaar Ministerie
Als hoofdredacteur is Aafke verantwoordelijk voor de artikelen en eventcontent, maar ze schrijft ook graag zelf. Ze maakt complexe zaken toegankelijk en vertelt de verhalen achter technologie.
Na vermoedens van een hack haalde het Openbaar Ministerie (OM) op 17 juli zijn systemen offline. Aanleiding hiervoor was een melding van het Nationaal Cyber Security Centrum (NCSC) over kwetsbaarheden in de veelgebruikte Citrix-systemen. Nog steeds is het OM offline. Het is niet bevestigd, maar het gaat vermoedelijk om Russische hackers die het systeem binnen wisten te dringen. Voor cybersecurity-expert Patrick Jordens is het geen verrassing. “We moeten stoppen met verbaasd reageren als dit gebeurt. Dit ís de realiteit.”
Patrick Jordens
Patrick Jordens (1969) is een ondernemer met een hart voor digitale veiligheid. Hij is directeur van de Trusted Third Party (TT3P) en oprichter van DMCC Group, dat organisaties helpt voldoen aan alle externe wet- en regelgeving en interne beleidsregels op het gebied van privacy en consumentenrecht. Ook is hij gastdocent marketing, data privacy en ethiek aan de Hogeschool van Rotterdam.
Het OM koppelde al zijn systemen los van het internet. Wat dacht jij toen je het nieuws las?
“Het was geen verrassing. Als je kijkt naar hoe cyberaanvallen zich ontwikkelen – vooral op het gebied van spionage en ontwrichting – dan is dit eerder regel dan uitzondering. Organisaties als het OM zijn juist prime targets. Dit is het topje van de ijsberg.”
Wat is hier volgens jou precies gebeurd?
“Volgens de informatie die nu beschikbaar is, zaten Russische hackers mogelijk al wekenlang in de systemen. Ze zijn vermoedelijk binnengekomen via een kwetsbaarheid in Citrix NetScaler, software die gebruikt wordt voor externe toegang. Al op 17 juni waarschuwde het Nationaal Cyber Security Centrum voor dat lek. Maar het duurde zeven dagen voor het werd gepatcht. In die tussentijd kan een hacker zich al lang hebben ingegraven. En dat is vermoedelijk ook gebeurd.”
* ‘Een netwerk patchen’ staat voor het dichten van een beveiligingslek in software of systemen die binnen een netwerk draaien. Een patch is in feite een software-update die door de leverancier wordt uitgebracht om fouten, kwetsbaarheden of lekken te herstellen.
Waarom duurt het zo lang voordat de systemen van het OM weer online gaan?
“Een goede hacker maakt zich niet direct bekend. Die kijkt rustig rond, opent achterdeurtjes, en verdwijnt dan weer. Als je vervolgens de kwetsbaarheid dicht, kun je alsnog ‘bezocht’ worden via die achterdeuren. Daarom moet je grondig forensisch onderzoek doen, en dat kost tijd. Zeker als je gevoelige informatie beheert, zoals bij het OM.”
Had dit voorkomen kunnen worden?
“Als een land als Rusland een organisatie echt wil hacken, dan lukt dat uiteindelijk. En dat betekent méér dan alleen technologie. Je moet ook organisatorisch alles op orde hebben. Dus gehackt worden is één ding, maar hoe je daar vervolgens als organisatie mee omgaat, is een tweede. Denk aan monitoring, awareness, governance.
En juist daar wringt vaak de schoen. Er is op 17 juni een melding gemaakt door het NCSC, op 24 juni werd het gat gedicht. Dat betekent dat hackers 7 dagen hebben kunnen ronddwalen in de systemen. In die tijd hebben ze overal achterdeurtjes kunnen planten. Daarom zijn de systemen in juli offline gehaald en de gevolgen nu zo omvangrijk, en duurt het lang voor dat het OM weer online kan gaan. En natuurlijk zou het kunnen dat er een goede reden voor is dat ze er zeven dagen over gedaan hebben om hun netwerk te patchen, maar ik kan het me haast niet voorstellen. De alarmbellen hadden eerder moeten rinkelen.”
Wat bedoel je precies met monitoring?
“Herkennen dat er iets niet klopt, gebeurt op basis van het monitoren van securitydata. Bijvoorbeeld: je ziet dat iemand 200 keer per minuut probeert in te loggen. Of er wordt een login poging gedaan vanaf de andere kant van de wereld. Dan weet je dat er iets niet in de haak is. Maar dat soort detectie vereist specialisten, tools, 24/7 monitoring – en dat is duur. Toch moet je je afvragen: als je zulke gevoelige dossiers beheert, kun je het je dan veroorloven om daarop te bezuinigen?
Ik vind dat het in veel berichtgeving over dit nieuws te veel op de oppervlakte blijft. De verplichting van het OM tegenover de burgers gaat verder dan dat. Stel dat alle gegevens van het MH17-dossier nu in Rusland liggen. Dat gaat om extreem gevoelige informatie. Welke impact heeft dat op de nabestaanden? Ik vind dat organisaties zich die vraag vaker zouden moeten stellen. Je ziet dat er een onderschatting van wat een hack uiteindelijk doet voor de mens die betrokken is bij die informatie.”
