De Nederlandse politie heeft ondanks eerdere waarschuwingen onvoldoende beveiligingsmaatregelen genomen bij de invoering van Microsoft 365, waardoor een Russische hackersgroep in 2024 relatief eenvoudig de contactgegevens van tienduizenden politiemedewerkers kon buitmaken. Dat blijkt uit onderzoek van Follow The Money (FTM), dat via de Wet open overheid documenten opvroeg over het datalek. Uiteindelijk werden de gegevens van ongeveer 62.000 medewerkers getroffen, wat het incident tot een van de grootste datalekken in de geschiedenis van de Nederlandse politie maakt.

Uit de documenten blijkt dat er al in november 2022 een interne risicoanalyse lag waarin nadrukkelijk werd gewaarschuwd voor de risico’s van het gebruik van de M365-cloudomgeving. De politie maakte gebruik van deze omgeving voor onder meer chat- en vergaderdiensten zoals Teams. In het rapport werd geadviseerd om de cloud alleen in gebruik te nemen als eerst een reeks beveiligingsmaatregelen zou worden doorgevoerd om de belangrijkste dreigingen te beperken. Volgens FTM zijn die adviezen destijds niet volledig opgevolgd.

Aanval was eenvoudiger dan nodig

De politie erkent inmiddels dat zij hierin tekort is geschoten. In reactie op vragen stelt de organisatie dat niet alle aanbevolen maatregelen ten tijde van het incident volledig waren geïmplementeerd. Daardoor is de aanval waarschijnlijk eenvoudiger geweest dan nodig. Volgens de politie had de specifieke aanval in dat geval moeilijker kunnen worden uitgevoerd en mogelijk ook eerder kunnen worden gedetecteerd. Of de hack volledig voorkomen had kunnen worden, blijft onduidelijk, maar dat de drempel voor de aanvallers lager lag, staat volgens de onderzoekers vast.
Bij de aanval kreeg een Russische hackersgroep toegang tot een Active Directory-omgeving van de Nationale Politie. Daarbij werden namen, contactgegevens en functies van politiemedewerkers buitgemaakt. Volgens politiebond NPB is het incident een ‘nachtmerrie’ voor het personeel, omdat deze informatie in verkeerde handen ernstige veiligheidsrisico’s kan opleveren. Naast basisgegevens bestaat de vrees dat ook foto’s en andere afbeeldingen zijn buitgemaakt.

M365-omgevingen vaker doelwit

Follow The Money benadrukt dat M365-omgevingen in toenemende mate doelwit zijn van statelijke hackers en daarom extra hoge beveiligingseisen stellen. Juist om die reden was in 2022 al gewaarschuwd dat het gebruik van deze cloudomgeving gepaard gaat met verhoogde risico’s. Welke specifieke beveiligingsmaatregelen ontbraken, wordt in de openbaar gemaakte documenten niet vermeld. Die informatie is om veiligheidsredenen weggelakt.
Na de hack zijn bij de politie alsnog aanvullende maatregelen genomen, zoals het verwijderen van inactieve accounts en het afdwingen van nieuwe wachtwoorden. In hoeverre deze stappen direct voortkomen uit de aanval of onderdeel zijn van bredere verbeteringen in het beveiligingsbeleid, is niet volledig duidelijk. Wel bevestigt het incident opnieuw hoe cruciaal het is om beveiligingsadviezen niet alleen vast te leggen, maar ook daadwerkelijk en tijdig te implementeren, zeker binnen organisaties met een hoge maatschappelijke en veiligheidsgevoelige functie zoals de politie.