Onderzoek
HUMANVPRO

ICT-organisatie van justitie niet één, maar twee keer gehackt

foto: ANP RAMON VAN FLYMEN
  1. Nieuwschevron right
  2. ICT-organisatie van justitie niet één, maar twee keer gehackt

De Justitiële ICT Organisatie, die onder andere de ICT beheert voor het ministerie van Justitie en Veiligheid, blijkt het afgelopen jaar niet één, maar twee keer te zijn gehackt. Indringers hadden hierdoor de mogelijkheid om door te dringen tot verschillende overheidsorganisaties, zoals de Dienst Justitiële Inrichtingen en de Dienst Terugkeer en Vertrek. Dat blijkt uit onderzoek van Argos. Interne adviezen om de systemen offline te halen werden niet opgevolgd. Eén van de redenen: het was onduidelijk of de enkelbanden van gedetineerden dan nog zouden werken.

Direct betrokkenen en cybersecurityexperts spreken van een zeer ernstige situatie, met name omdat het erop lijkt dat ook de interne firewall, die digitale indringers moest buitenhouden, niet goed functioneerde. Bovendien melden bronnen dat ook de logging en monitoring min of meer uitstond, waardoor onduidelijk is hoe ver de aanvallers daadwerkelijk tot de systemen zijn doorgedrongen.  

De Justitiële ICT organisatie bevestigt de hack, maar ontkent aantijgingen over de logging en monitoring. Twee weken geleden berichtte Argos al over een andere hack bij de Justitiële ICT Organisatie: vorig jaar zijn aanvallers daar ook binnengekomen via de Ivanti EPMM software. 

Lekke thuiswerksoftware

De hackers kwamen binnen via een lek in de thuiswerksoftware Citrix. Via datzelfde lek werd afgelopen zomer ook al het Openbaar Ministerie gehackt. Het OM besloot hierop totaal offline te gaan, met als gevolg dat de hele strafrechtketen op zijn kop kwam te staan. Het Nederlands Cyber Security Center (NCSC) maakte toen al bekend dat er via Citrix “meerdere kritieke organisaties binnen Nederland succesvol aangevallen” waren.  

Nu wordt duidelijk dat ook de Justitiële ICT Organisatie (JIO), die de ICT van verschillende overheidsorganisaties beheert, in de zomer van 2025 is gehackt. Dat stelt Argos vast op basis van vertrouwelijke documenten en verklaringen van meerdere bronnen die betrokken waren bij de nasleep van de hack. In tegenstelling tot het OM besloot de directie van de Justitiële ICT Organisatie om de systemen niet offline te halen.  

JIO bevestigt in reactie op vragen van Argos dat er inderdaad sprake is geweest van een inbreuk op de Citrixomgeving. Een woordvoerder wijst op een kamerbrief van 12 augustus 2025 waarin toenmalig Justitieminister David van Weel al opmerkte dat er "een signaal" was dat bij de Justitiële ICT Organisatie "gebruik was gemaakt van de kwetsbaarheid in de Citrix-omgeving". Destijds voegde de minister echter direct toe dat er "geen aanwijzingen" waren "dat daadwerkelijk misbruik was gemaakt van de kwetsbaarheid". Ook meldde de minister toen dat uit onderzoek "geen signaal [is] gekomen van mogelijk misbruik in de achterliggende IT-omgevingen". Cybersecurityexpert Lisa de Wilde: “Die tekst is heel tegenstrijdig. Als een kamerlid dit leest, dan denkt die waarschijnlijk: die organisatie is niet gehackt.” 

Firewall zo goed als uitgeschakeld

Volgens bronnen konden de digitale inbrekers vanuit de Citrixservers juist wel onopgemerkt verder doordringen in de systemen van justitiële instellingen. Dat kwam doordat de interne firewall door een configuratiefout in feite was uitgeschakeld: de deur stond als het ware open en er werd bovendien niet of nauwelijks bijgehouden wie er binnenkwam. Hoe dit mogelijk is, is de grote vraag. Zonder extra beveilingsmaatregelen zoals een firewall en monitoring zijn organisaties erg kwetsbaar voor digitale indringers. 

In reactie op vragen van Argos ontkende JIO in eerste instantie dat er sprake was van een configuratiefout, maar gaf vervolgens toch toe dat interne firewall niet optimaal functioneerde: “De binnenste firewalls (...) lieten meer verkeer door dan strikt noodzakelijk is voor de reguliere werking.” Verder meldt JIO dat "de logging heeft gewerkt zoals het hoort te werken". Volgens JIO werd dus wel voldoende bijgehouden welk verkeer er door de firewall ging. Dat is in strijd met wat bronnen aan Argos melden. 

Veel organisaties (potentieel) geraakt

De impact van de hack is potentieel groot. De Justitiële ICT Organisatie beheert de ICT van - naast de eerdergenoemde organisaties - nog veel andere overheidsinstanties, zoals de Autoriteit Persoonsgegevens en de Raad voor de Kinderbescherming  

Jeroen van der Ham-de Vos, cybersecurityonderzoeker aan de Universiteit Twente: “Als die firewall uitstond is dat heel zorgelijk. Want daardoor kan een indringer proberen in te loggen op de achterliggende interne systemen.” Die systemen hebben doorgaans een zwakkere beveiliging en zijn voor ervaren hackers makkelijker te kraken. Van der Ham-De Vos: “Als je genoeg kennis en genoeg tijd hebt, dan kan je waarschijnlijk ook bij de rest van de organisatie en alle andere systemen binnenkomen.” 

Solvinity beheerde de firewall

De interne firewall die JIO moest beschermen tegen indringers is van het bedrijf Solvinity. Dat bedrijf raakte de afgelopen maanden in opspraak omdat het wordt overgenomen door een Amerikaanse partij, terwijl het de cloud van DigiD beheert. Daarnaast verzorgt Solvinity ook IT-beheer en cybersecuritydiensten aan veel andere bedrijven.  

Nadat de digitale inbrekers via het Citrixlek bij JIO waren binnengekomen, hadden ze volgens bronnen via de firewall van Solvinity ook toegang tot andere Solvinity-klanten die gebruik maakten van de firewall, zoals het Centraal Justitieel Incasso Bureau. Of de hackers ook daadwerkelijk zo ver zijn doorgedrongen is onbekend. Normaal gesproken zou dit bijgehouden worden door de logging in de firewall, maar daar waren dus problemen mee. Solvinity wil niet op vragen van Argos reageren. 

Niet offline

Na de ontdekking van de hack waarschuwden verschillende betrokkenen voor de gevaren ervan. Zij adviseerden JIO dringend om de getroffen systemen offline te halen om te voorkomen dat de digitale inbrekers verder door zouden kunnen dringen en gevoelige gegevens buit konden maken. Desondanks besloot JIO niet offline te gaan. Bronnen melden aan Argos dat JIO niet kon inschatten in hoeverre de ICT-systemen van de betrokken overheidsorganisaties dan nog zouden werken. Een tekenend voorbeeld: JIO maakte zich zorgen over de vraag of de monitoring van enkelbanden nog wel zou functioneren.  

Cybersecurityonderzoeker Jeroen van der Ham-de Vos: “Ik vind het zorgelijk dat ze niet weten of dat de enkelbanden nog zouden werken op het moment dat het systeem offline zou gaan. Als je daar geen vertrouwen in hebt, dan heb je echt geen vertrouwen in je eigen systemen.”  

In reactie op vragen van Argos meldt JIO dat het Ministerie van Justitie en Veiligheid destijds heeft geadviseerd om “de ICT-omgeving niet af te afkoppelen van het internet”. 

JIO voegt toe: “gezien de verregaande operationele consequenties voor de opdrachtgevers is daarom besloten in dit geval niet af te koppelen. Wel is onmiddellijk de kwetsbaarheid verholpen en een onderzoek ingesteld. (...) Voor extra zekerheid is de monitoring en detectie op de systemen structureel versterkt.” 

Chaos in de strafrechtketen

In tegenstelling tot JIO besloot het OM afgelopen zomer wel om de systemen offline te halen én om de Citrixservers in zijn geheel uit te zetten. Zij volgden daarbij het veiligheidsadvies van het NCSC op. Deze maatregel veroorzaakte wel veel chaos in de strafrechtketen. Advocaten en officieren van justitie konden niet bij processtukken, onderzoeken liepen vertraging op en ook werden allerlei andere organisaties binnen de strafrechtketen geraakt: screenings in de kinderopvang lagen stil, Verklaringen Omtrent Gedrag konden niet worden afgegeven en ook organisaties als Slachtofferhulp en Reclassering kampten met problemen met de informatievoorziening. Als JIO offline was gegaan, had dit waarschijnlijk voor vergelijkbare problemen gezorgd. 

Kamer wordt niet geïnformeerd over uitkomsten van het onderzoek

De Justitiële ICT Organisatie schakelde, kort nadat de hack gedetecteerd was, cyberbeveiligingsbedrijf Fox-IT in om onderzoek te doen naar de hack. JIO laat weten dat de resultaten van het onderzoek alleen met JIO zelf zijn gedeeld, en “vanwege veiligheidsoverwegingen” niet naar de Tweede Kamer zullen worden gestuurd.  

Directeur JIO vertrekt

Uit interne bronnen blijkt dat Marcel Hoogland, die sinds 2022 de algemeen directeur was bij JIO, op 28 februari is vertrokken. Op vragen of zijn vertrek verband houdt met de tekortschietende informatiebeveiliging, wil JIO geen mededelingen doen omdat het over “individuele personeelsaangelegenheden” gaat.  

Wederhoor

Lees het wederhoor van de Justitiële ICT Organisatie, het Ministerie van Justitie en Veiligheid, de Autoriteit Persoonsgegevens, de Raad voor de Kinderbescherming, de Dienst Terugkeer en Vertrek, en het Centraal Justitieel Incassobureau op de website van Argos.

In de uitzending van zaterdag 14 maart (14:00) op NPO Radio 1 vertelt Argos-redacteur Saar Slegers (dossier digitale veiligheid) meer over deze hack en de mogelijke gevolgen voor de systemen van de Justitiële ICT-organisatie.

 

 

Meer journalistiek speurwerk?

Argos is het onderzoeksjournalistieke programma van de HUMAN en VPRO. Je hoort Argos om de week op zaterdag van 14.00 tot 15.00 uur op NPO Radio 1. Terugluisteren kan via NPO Luister, je favoriete podcastapp, of via de website van Argos. Volg Argos ook via Instagram, Facebook, Bluesky en LinkedIn.

Advertentie via ster.nl
Argos
Argos
HUMAN & VPRO
Advertentie via ster.nl

Gerelateerd

Dienst Justitiële Inrichtingen (DJI) gehackt, problemen nog niet voorbij
ArgosHUMAN/VPRO
Dienst Justitiële Inrichtingen (DJI) gehackt, problemen nog niet voorbij
Groep Italiaanse artsen ondermijnt controleproces bij wetenschappelijke publicaties
ArgosHUMAN/VPRO
Groep Italiaanse artsen ondermijnt controleproces bij wetenschappelijke publicaties
Kabinet wil minder afhankelijk worden van Trumps gas
ArgosHUMAN/VPRO
Kabinet wil minder afhankelijk worden van Trumps gas
Religie en oorlog: 'Het is niet religie zelf'
SpraakmakersKRO-NCRV
Religie en oorlog: 'Het is niet religie zelf'