Dienst Justitiële Inrichtingen getroffen door cyberincident

vrijdag, 27 februari 2026 (11:40) - Techzine

In dit artikel:

De Dienst Justitiële Inrichtingen (DJI) is getroffen door een ernstig cyberincident dat volgens onderzoek van Argos al minstens vijf maanden toegang tot interne systemen heeft toegestaan en mogelijk nog voortduurt. Medewerkers werden op 12 februari intern geïnformeerd dat eerdere aannames over de veiligheid van gegevens niet langer houdbaar waren; een extern onderzoek bevestigde besmetting.

Bij de aanval zijn onder meer zakelijke e‑mailadressen, telefoonnummers en beveiligingscertificaten van door DJI centraal beheerde mobiele telefoons, laptops en tablets buitgemaakt. DJI heeft gezegd het datalek te melden bij de Autoriteit Persoonsgegevens. Omdat veel DJI‑medewerkers te maken hebben met gedetineerden, vergroot het lek het risico op chantage en intimidatie; oud‑gevangenisdirecteur Klaas Brandsma waarschuwt dat direct beschikbare contactgegevens de persoonlijke veiligheid van leidinggevenden en afdelingshoofden kunnen ondermijnen.

De indringers maakten gebruik van een kwetsbaarheid in Ivanti Endpoint Manager Mobile — beheer‑ en beveiligingssoftware waarmee organisaties updates uitrollen en apparaten op afstand kunnen beheren of wissen. Het Nationaal Cyber Security Centrum (NCSC) waarschuwde dat misbruik van deze fout verder kan reiken dan datadiefstal: aanvallers kunnen zonder authenticatie eigen code uitvoeren en zo volledige controle over systemen en gekoppelde apparaten krijgen. Hoewel er inmiddels een patch beschikbaar is, merkt het NCSC en cybersecurityexpert Frank Breedijk op dat dit geen garantie is dat aanvallers verdwenen zijn; achterdeurtjes kunnen blijven bestaan en alleen volledig wissen en opnieuw inrichten biedt zekerheid.

Onzeker blijft of ook locatiegegevens van apparaten zijn buitgemaakt; die gegevens worden doorgaans in dezelfde database opgeslagen en DJI heeft medewerkers aangeraden locatie‑deling uit te schakelen. Niet alleen DJI is getroffen: eerder bleek ook de Autoriteit Persoonsgegevens en de Raad voor de Rechtspraak problemen te hebben gehad via dezelfde Ivanti‑kwetsbaarheid. DJI onderzoekt nog de precieze oorzaak en omvang van het incident.