Het ministerie van Financiën werd in maart gehackt via een zero-day kwetsbaarheid in de software die toegang tot de digitale werkplek regelt. Daarbij zijn waarschijnlijk medewerkergegevens gestolen. Minister Heinen informeerde de Tweede Kamer vandaag in een brief. De aanvaller is onbekend. Forensisch onderzoek biedt geen uitsluitsel over de identiteit of de exacte buitgemaakte bestanden.
Op 19 maart detecteerde het eigen SOC van het ministerie verdacht gebruikersgedrag op het netwerk. De software in kwestie draait bij een externe leverancier die namens Financiën diverse digitale processen afhandelt. Die leverancier nam dezelfde dag nog mitigerende maatregelen en zette bepaalde voorzieningen dicht. Op 27 maart werden ook andere klanten van de leverancier geïnformeerd. Over welk bedrijf of welke software het gaat, heeft Heinen niet bekendgemaakt.
Eerder, eind maart, meldden we al dat de omvang van de inbraak nog onduidelijk was. Ondertussen lag onder meer het portaal Mijn Schatkist tijdelijk offline. Dat portaal is door zo’n 1.600 instellingen, waaronder decentrale overheden en rechtbanken, in gebruik om geld bij de rijksschatkist te beheren. Inmiddels zijn alle systemen weer online.
Heinen stelt dat de inbraak geen schade aan systemen heeft aangericht, mede dankzij tijdig ingrijpen. Wel werden de wachtwoorden van alle medewerkers van het beleidsdepartement preventief gereset. Welke bestanden precies zijn buitgemaakt, valt naar verwachting niet meer te reconstrueren. “Bij dergelijke geavanceerde inbraken is het zelden mogelijk om erachter te komen wie of welke partij ervoor verantwoordelijk is”, aldus Heinen.
Aangifte gedaan, systemen weer operationeel
Het ministerie activeerde de interne crisisorganisatie en werkte samen met het NCSC, externe beveiligingsexperts en de Autoriteit Persoonsgegevens (AP). De datalekmelding bij de AP werd binnen de wettelijke 72 uur gedaan. Ook werd aangifte gedaan bij Team High Tech Crime van de politie.
Er is enige reden tot zorg voorbij het incident zelf, dat enige context vereist. Volgens het Cybersecuritybeeld Nederland 2025 van de NCTV zijn de cybersecuritymaatregelen binnen de Rijksoverheid al langere tijd ontoereikend. Vooralsnog heeft de schade zich (voor zover dat bekend is) beperkt tot data van medewerkers en niet burgers buiten de overheid. Desondanks meldt minister Heinen dat er verbetering op komst is. Voor de komende periode focust het ministerie op uitbreiding van het SOC-team en het uitvoeren van periodieke pentests en crisisoefeningen.