NCSC: Webex-vergaderingen opnieuw inplannen

Het Nationaal Cyber Security Centrum (NCSC) adviseert organisaties om te overwegen om vergaderingen die vóór 4 juni zijn aangemaakt maar die nog moeten plaatsvinden, te verwijderen en opnieuw in te plannen, vanwege een gevonden kwetsbaarheid in deze afspraken. Het advies geldt niet voor de rijksoverheid.

Lek in Webex

Vorige week werd het NCSC door een Duitse journalist op de hoogte gebracht van een kwetsbaarheid in de cloudversie van Cisco Webex, de online vergadersoftware van Cisco, die door de rijksoverheid en een aantal gemeenten wordt gebruikt. Door de kwetsbaarheid was het mogelijk om de metagegevens van vergaderingen te vinden, zoals informatie over de organisator, tijden en titels van vergaderingen. Op basis van die gelekte gegevens was het mogelijk om in te loggen in online vergaderingen, al was dat in ieder geval bij het rijk onwaarschijnlijk, vanwege de inrichting van de Nederlandse rijksvideo-omgeving. Het NCSC heeft geen aanleiding om aan te nemen dat gegevens over andere deelnemers of wachtwoorden toegankelijk waren. Volgens Cisco was het probleem per 28 mei verholpen.

Voortaan tijdig informeren

In een brief schrijft demissionair staatssecretaris digitalisering Alexandra van Huffelen dat het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) naar aanleiding van het bericht de crisisorganisatie heeft opgestart. Op donderdagochtend kwamen CIO’s en CISO’s van de verschillende departementen bijeen met de AIVD, de NCTV en het NCSC om te bepalen wat er moest gebeuren. Die middag is een gesprek met Cisco gevoerd. De softwareleverancier had de rijksoverheid niet zelf op de hoogte gesteld, hoewel het lek al bekend was. Dat werd dus geen gezellig gesprek. Van Huffelen laat weten: ‘Cisco heeft in dit gesprek alle medewerking aangeboden en toegezegd de Rijksoverheid voortaan tijdig te informeren bij incidenten.’

Aanvullende kwetsbaarheid

De Belastingdienst, die Cisco Webex voor het rijk beheert, heeft onafhankelijke onderzoekers ingeschakeld. Zij bevestigen dat de kwetsbaarheid is verholpen. Wel bleek er sprake te zijn van een aanvullende kwetsbaarheid in vergaderingen die al voor 28 mei 2024 zijn aangemaakt, maar die nog moeten plaatsvinden. Het NCSC raadt voor de zekerheid aan om vergaderingen die zijn ingepland voor 4 juni 2024 opnieuw in te plannen vanwege deze kwetsbaarheid. Dat is niet nodig als er al een organisatiebrede oplossing wordt geïmplementeerd, zoals het geval is bij de rijksoverheid.  

Standaardmaatregelen online vergaderen

Verder geeft het NCSC het advies om een aantal standaardmaatregelen te nemen voor online vergaderingen, zoals het instellen van een wachtruimte, het instellen van een wachtwoord en het controleren van de deelnemers aan een vergadering. Het bespreken van hoog gevoelige of -vertrouwelijke informatie in online vergaderingen wordt helemaal afgeraden.

Veel organisaties gebruiken een eigen unieke configuratie van Webex. Het NCSC adviseert deze organisaties om contact op te nemen met de leverancier over technische oplossingen.