Eerst was er in september 2024 het nieuws dat met een hack in Microsoft Outlook bij de politie "werkgerelateerde contactgegevens" van 62.000 politiemensen buitgemaakt werden, dat wil zeggen namen, e-mailadressen en telefoonnummers, plus in sommige gevallen ook privé-gegevens. De noodklok werd geluid.

De Nederlandse Politiebond sprak van een "nachtmerrie" en "immens veel meldingen" van agenten die zich zorgen maken. De politie opende daarop een callcenter om zelf die bezorgde dienders te woord te kunnen staan.

In november 2024 meldde minister Van Weel (VVD, Justitie) in een brief: “Uit het onderzoek van THTC [Team High Tech Crime] is inmiddels gebleken dat de daders vermoedelijk gebruik hebben gemaakt van een zogenoemde pass-the-cookie-aanval. Het doel van zo’n aanval is om toegang te krijgen tot het account of de applicatie van een gebruiker zonder dat inloggen met een wachtwoord opnieuw vereist is. Bij een succesvolle pass-the-cookie- aanval wordt een actieve sessie van een account overgenomen met de bijbehorende rechten. Het verkrijgen van toegang kan op verschillende manier gebeurd zijn, bijvoorbeeld door phishing. Na een succesvolle aanval kan malware worden geïnstalleerd, die data, zoals cookies, doorstuurt naar de hacker.”

Op 27 november 2024 overlegde de Tweede Kamer (download verslag) over het datalek bij de politie. AIVD/MIVD was het op het spoor gekomen, en een land (Rusland, China, Iran) was de waarschijnlijke dader. Kamerleden waren verbolgen en in de ‘hoogste staat van paraatheid’ want geheime operaties door de politie zouden wellicht onmogelijk zijn geworden:

Hanneke van der Werf (D66): “Gegevens van politiemensen zijn kostbaar en kwetsbaar. Er zijn partijen die veel geld overhebben voor deze informatie. Foto's en andere gegevens kunnen ook gebruikt worden voor bijvoorbeeld gezichtsherkenning. Het wordt makkelijk om bijvoorbeeld agenten te chanteren met activiteiten in hun vrije tijd. Al deze personen, maar liefst 62.000 mensen, kunnen misschien wel nooit meer worden ingezet als undercoveragent.”

Minister van Weel, die bij de NAVO verantwoordelijk voor cybersecurity, weet waarover hij spreekt. Ook externe personen die voor de politie werken, privé-adressen en portretfoto’s zijn gelekt. Maar undercoveragenten stonden er niet in:

“Een van de eerste vragen die natuurlijk extern maar ook bij ons intern speelde, was: hoe zit het met mensen die werken onder een dekmantel? Dat is de meest kwetsbare groep. Ik moet eerlijk zeggen dat ik al hoopte dat die niet onder een naam in het systeem zouden staan. Dat bleek gelukkig ook niet het geval te zijn. Daarmee was dus het acute gevaar voor die operaties geweken.”

Het privé risico voor politiemensen met bijvoorbeeld fysieke dreiging was eveneens gering volgens Van Weel. Vervolgens is wel gewaarschuwd voor een veel groter gevaar voor phishing omdat persoonlijk gerichte mails verstuurd kunnen worden. Daarop moeten politiemensen veel alerter worden.

Digitale recherche probeert na te gaan of het databestand te koop komt op zwarte markten, maar het vermoeden is dat de staat die de mailadressen verkreeg deze zo nodig zelf zal gebruiken. Bij de Tweede Kamer heerst angst dat bijvoorbeeld met de inzet van politie bij de Navo-top in Den Haag in 2025 misbruik gemaakt kan worden van de data, inclusief gezichtsherkenning op grond van de foto’s.

Het viel allemaal wel mee volgens Van Weel: “Als ik aanleiding had om ongeruster te zijn dan ik nu overkom, zou ik die ongerustheid ook uiten. Ik ben hier helemaal niet om zaken te downplayen of om ze mooier te laten lijken for the sake of it. Ik probeer het echte verhaal neer te zetten, op basis van de risicoanalyses.”

Ook NCTV lek

Vervolgens werd in december 2024 zomaar een rapport openbaar (hier de pdf) van Auditdienst Rijk met een hele berg kritiek op slechte beveiliging van politie en NCTV. Over de laatste staat onder meer:

“In 2017 is een Kwetsbaarheidsanalyse Spionage (KWAS) uitgevoerd. De nota die is opgesteld n.a.v. de KWAS bevat concrete en bruikbare aanbevelingen. De CISO/BVC7 geeft aan dat er niet veel gebeurd is met de uitkomsten van de analyse. De maatregelen die op basis van de KWAS zijn voorgesteld aan het managementteam (MT) NCTV, zijn niet geïmplementeerd. • In 2022 zijn IB-quickscans8 uitgevoerd van de door ons onderzochte systemen. De nota's die n.a.v. de IBquickscans zijn opgesteld, bevatten concrete actiepunten en risico-overzichten. Er is geen zichtbare opvolging van de actiepunten.”

Van 2013 tot 2018 was daar Dick Schoof de baas, de huidige minister-president, die geen reputatie opbouwt van krachtdadig optreden.

Het onderzoek van de ADR werd opgezet na de arrestatie van een medewerker van de NCTV op verdenking van het doorspelen van staatsgeheimen aan Marokko met USB-sticks, en eveneens door een 35-jarige politievrouw uit Gouda. Opvallend is de openbaarmaking zelf, met gedetailleerde gegevens over de systemen en modus operandi bij de NCTV en politie met staatsgeheime informatie.

ADR traceerde 200 USB-sticks van de NCTV met gevoelige documenten die niet meer te traceren zijn. Ook printen medewerkers aan de lopende band staatsgeheimen uit en produceren daarmee kopieën die veelal niet meer te traceren zijn. Kasten en kluizen en persoonlijke schuiven bevatten wellicht ook geheime informatie. Van enige opschoning was geen sprake. Persoonlijke verklaring van geen bezwaar (vgb) zijn voor 9 procent van de ruim 500 medewerkers met toegang tot geheimen vaak ouder dan de toegestane maximaal vijf jaar.

Conclusie

Bij de politie is de beveiliging van de gevoelige informatie van de dienst (Contra-)terrorisme, Extremisme en Radicalisering (CTER) niet goed. Bijvoorbeeld de toegang van tolken tot tapsystemen is onvoldoende beveiligd. Er is geen grip op verspreiding van gevoelige informatie. Zo had een tolk thuis een politiekluis met gevoelige informatie.

De conclusie moet wellicht luiden: de begrippen ‘geheim’ en ‘veilig’ hebben geen absoute maar een relatieve betekenis, zowel in de omgang door direct betrokkenen als in de handhaving. Je kunt lekken een “nachtmerrie” noemen, en kwalificeren met “het valt wel mee”.