Rijksoverheid ziet geen alternatief voor ‘kwetsbaar’ Webex

Het Rijk kan geen geschikt alternatief vinden voor de online vergadertool Webex van Cisco. Dat schrijft staatssecretaris Zsolt Szabó voor Digitalisering in antwoord op Kamervragen van PVV, NSC en de VVD. Webex kreeg onlangs te maken met een datalek waardoor onbevoegden konden meekijken.

De staatssecretaris meldt dat het datalek bij Webex is ontstaan omdat er gebruik werd gemaakt van zogeheten voorspelbare url’s bij de vergaderingen. Zo lukte het onbevoegdheden om toegang te krijgen tot metadata van vergaderingen. Inbellen bleek ook mogelijk via het Public Switched Telephone Network waarmee telefonisch toegang kan worden gekregen tot een online vergadering. Hiervan zijn echter geen gevallen bekend.

Maatregelen

In het antwoord aan de Kamerleden beschrijft Szabó hoe het Rijk maatregelen heeft genomen om te voorkomen dat er zeer vertrouwelijke informatie of staatsgeheime informatie uitlekt via Webex. De tool mag voortaan alleen gebruikt worden tot aan het niveau van ‘vertrouwelijke’ informatie. Een hoger niveau van vertrouwelijkheid mag niet. ‘Door ontwikkeling van de techniek kunnen systemen die aanvankelijk veilig werden bevonden, nieuwe kwetsbaarheden bevatten’, licht Szabó toe.

Het Rijk overlegt met Cisco om het beleid en processen ten aanzien van mogelijke toekomstig geconstateerde kwetsbaarheden en incidenten aan te passen. Szabó geeft verder aan dat het probleem bij het datalek van Webex niet zozeer de ontdekte kwetsbaarheid was, maar het feit dat deze niet per direct aan de Rijksoverheid gemeld werd omdat de leverancier geen verdachte activiteiten had waargenomen. ‘Hierover zijn gesprekken met Cisco gevoerd, naar aanleiding waarvan Cisco hun meldingsproces gaat herinrichten om een dergelijke kwestie in de toekomst te voorkomen.’

Alternatieven zijn er niet

De Rijksoverheid heeft inmiddels gekeken naar alternatieven voor Webex, maar deze zijn nog niet gevonden. Er zijn volgens Szabó geen gelijkwaardige alternatieven die geschikt zijn voor de schaalgrootte en de complexiteit van de organisatie van de Rijksoverheid.

Een open source oplossing voor een eigen vergadertool is ook geen optie. ‘De selectie van een leverancier voor het rijksbreed videoconferencing platform heeft middels een openbare aanbesteding plaatsgevonden. Geen van de inschrijvende partijen had een open source oplossing aangeboden.’