Rijksoverheid ziedend over datalek Webex, onderzoek in gang gezet
Van Huffelen: 'Onacceptabel dat dit heeft kunnen gebeuren en dat het via de Duitse media tot ons is gekomen'
Het Rijk onderzoekt een datalek bij Webex dat ertoe heeft geleid dat informatie over overheidsvergaderingen voor onbevoegden toegankelijk was. Het Rijk werd door leverancier Cisco niet op de hoogte gesteld, maar moest het nieuws vernemen via Duitse media.
Metadata inzichtelijk
Online vergaderingen van de Nederlandse rijksoverheid worden standaard via Webex gehouden. Ook sommige gemeenten gebruiken het. Door het datalek waren zogeheten metagegevens van Webex-vergaderingen inzichtelijk voor onbevoegden. Onder meer de titel van de meeting, de organisator, het tijdstip en het vergadernummer waren in te zien, blijkt uit berichtgeving in Duitse media.
Cisco heeft volgens het Rijk nooit gemeld dat er sprake was van een datalek, zo schrijft demissionair staatssecretaris Van Huffelen in een brief aan de Tweede Kamer. ‘Ik vind het onacceptabel dat dit heeft kunnen gebeuren en dat deze kwetsbaarheden bij de Rijksoverheid via de Duitse media tot ons zijn gekomen, in plaats van via de leverancier’, schrijft ze. ‘Daarbij maak ik mij zorgen over het lekken van informatie op deze wijze en de late reactie van de leverancier. Bestuurders en ambtenaren moeten er te allen tijde vanuit kunnen gaan dat zij veilig kunnen overleggen.’
Onderzoek is gaande
Uit het Duitse voorbeeld werd bovendien duidelijk dat er op basis van de gelekte gegevens kan worden ingelogd in online vergaderingen. Op dit moment wordt verder onderzocht of dit bij de Nederlandse overheid ook het geval was. Het lijkt volgens Van Huffelen tot nu toe niet waarschijnlijk, dankzij de manier waarop de Nederlandse Rijksvideo-omgeving is ingericht. Het Rijk onderzoekt ook of er wachtwoorden, inhoud van de vergaderingen, chats of gedeelde bestanden inzichtelijk zijn geweest.
Er wordt door het Rijk een melding van het incident gedaan bij de Autoriteit Persoonsgegevens en betrokkenen worden geïnformeerd over het feit dat gegevens zichtbaar waren. De kwetsbaarheden werden al begin mei 2024 gemeld aan de leverancier Cisco, maar deze maakte ze pas begin juni openbaar. De kwetsbaarheden zijn inmiddels weggenomen. Omdat ze verholpen zijn, heeft dit incident op dit moment geen gevolgen voor het gebruik van Webex door de rijksoverheid.
De Duitse journaliste Eva Wolfangel
Hieronder een tweet van de betrokken Duitse journaliste van Zeit Online, over haar optreden bij Nieuwsuur.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.