Het Rijk onderzoekt een datalek bij Webex dat ertoe heeft geleid dat informatie over overheidsvergaderingen voor onbevoegden toegankelijk was. Het Rijk werd door leverancier Cisco niet op de hoogte gesteld, maar moest het nieuws vernemen via Duitse media.
Online vergaderingen van de Nederlandse rijksoverheid worden standaard via Webex gehouden. Door het datalek waren zogeheten metagegevens van Webex-vergaderingen inzichtelijk voor onbevoegden. Onder meer de titel van de meeting, de organisator, het tijdstip en het vergadernummer waren in te zien, blijkt uit berichtgeving in Duitse media.
Datalek werd niet gemeld
Cisco heeft volgens het Rijk nooit gemeld dat er sprake was van een datalek, zo schrijft demissionair staatssecretaris Van Huffelen in een brief aan de Tweede Kamer. ‘Ik vind het onacceptabel dat dit heeft kunnen gebeuren en dat deze kwetsbaarheden bij de Rijksoverheid via de Duitse media tot ons zijn gekomen, in plaats van via de leverancier’, schrijft ze. “Daarbij maak ik mij zorgen over het lekken van informatie op deze wijze en de late reactie van de leverancier. Bestuurders en ambtenaren moeten er te allen tijde vanuit kunnen gaan dat zij veilig kunnen overleggen.”
Onderzoek gaande
Uit het Duitse voorbeeld werd bovendien duidelijk dat er op basis van de gelekte gegevens kan worden ingelogd in online vergaderingen. Op dit moment wordt verder onderzocht of dit bij de Nederlandse overheid ook het geval was. Het lijkt volgens Van Huffelen tot nu toe niet waarschijnlijk, dankzij de manier waarop de Nederlandse Rijksvideo-omgeving is ingericht. Het Rijk onderzoekt ook of er wachtwoorden, inhoud van de vergaderingen, chats of gedeelde bestanden inzichtelijk zijn geweest.
Melding bij de AP
Er wordt door het Rijk een melding gedaan bij de Autoriteit Persoonsgegevens van het incident en betrokkenen worden geïnformeerd over het feit dat gegevens zichtbaar waren. De kwetsbaarheden werden al begin mei 2024 gemeld aan de leverancier Cisco, maar deze maakte ze pas begin juni openbaar. De kwetsbaarheden zijn inmiddels weggenomen. Omdat de kwetsbaarheden in het systeem inmiddels verholpen zijn, heeft dit incident op dit moment geen gevolgen voor het gebruik van Webex door de Rijksoverheid.
Lees ook:
