OM: Wees zorgvuldig in uw uitlatingen – en in uw beleid.
Goed om te horen dat Openbaar Ministerie (OM) niet is getroffen door een ransomware-aanval, maar dat laat onverlet dat de verklaring van het OM over de recente verstoring in zijn systemen ongelukkig is.
In zijn communicatie stelt het OM namelijk dat er geen sprake is van een “een cyber of security incident” (NRC van 29 maart 2025), terwijl tegelijkertijd cruciale systemen niet beschikbaar waren, toegang tot dossiers onmogelijk werd en medewerkers hun werk niet konden uitvoeren.
Diverse wet- en regelgeving verplicht organisaties risicobeheersmaatregelen te treffen om computersystemen, netwerken, hun gebruikers en anderen te beschermen tegen dreigingen, incidenten en de gevolgen daarvan. Dit is een juridische zorgplicht die voor elke organisatie geldt. Voor overheden komen daar nog aanvullende beleidsmaatregelen bij.
Het doel van deze maatregelen is de (1) beschikbaarheid, (2) integriteit en (3) vertrouwelijkheid van gegevens en de verwerking ervan proactief en preventief te waarborgen. Onder vertrouwelijkheid worden mede verstaan: authenticatie, identificatie en autorisatie, omdat deze begrippen direct gerelateerd zijn aan het beschermen van de toegang tot gegevens.
De focus op alle drie de kernbegrippen is cruciaal voor een evenwichtige benadering van informatiebeveiliging. Dat laat onverlet dat de bescherming van ieder kernbegrip afzonderlijk belangrijk is, en dat een schending van één van deze elementen eveneens een beveiligingsprobleem vormt.
“Als de beschikbaarheid van gegevens wordt aangetast door uitval van een systeem, netwerk of dienst – ongeacht oorzaak – terwijl de integriteit en vertrouwelijkheid intact blijven, wordt dit beschouwd als een informatiebeveiligingsincident. Hetzelfde geldt voor schendingen van de integriteit of vertrouwelijkheid.”
Anders gezegd, indien een systeem langdurig niet beschikbaar is, zoals in het geval van deze “hardnekkige verstoring” bij de staande magistratuur, is er per definitie sprake van een incident op het gebied van informatiebeveiliging, ook indien een hack, ransomware-aanval of ander kwaadwillig gedrag ontbreekt. Door de nadruk te leggen op de afwezigheid van een aanval, terwijl systemen aantoonbaar niet functioneerden, geeft het OM een onvolledig en onjuist beeld van wat onder een beveiligingsincident valt. Ondertussen blijkt dat het OM naar eigen zeggen wel een “verhoogde dijkbewaking” heeft ingesteld rond het eigen ICT. Hoe moeten we dat lezen?
Lees ook:
