'Politie voerde beveiligingsadvies voor M365 niet volledig uit voor grote hack'

In dit artikel:

De Nederlandse politie had belangrijke beveiligingsmaatregelen niet volledig ingevoerd toen in 2024 een Russische hackersgroep toegang kreeg tot een Active Directory-omgeving van de Nationale Politie, waardoor namen en contactgegevens van circa 63.000 politiewerkers openbaar werden. Dat blijkt uit documenten die Follow The Money via een Woo-verzoek opvroeg. In een interne risicoanalyse uit november 2022 was al gewaarschuwd dat vóór de uitrol van Microsoft 365 bepaalde extra beveiligingen nodig waren, omdat M365-omgevingen aantrekkelijke doelwitten voor statelijke actoren vormen. De politie erkent dat niet alle aanbevolen maatregelen ten tijde van het incident waren doorgevoerd en geeft aan dat de aanval daardoor waarschijnlijk moeilijker uitvoerbaar en eerder detecteerbaar zou zijn geweest. Welke specifieke tegenmaatregelen ontbreken, wordt in de vrijgegeven documenten om veiligheidsredenen niet vermeld. Na de hack zijn wel stappen gezet, zoals het verwijderen van inactieve accounts en het afdwingen van nieuwe wachtwoorden, maar het verband tussen die acties en de eerder geconstateerde tekortkomingen is niet helder. Kortom: vroegtijdige implementatie van de aanbevolen M365-beveiliging had de impact van de inbreuk kunnen beperken, maar of de hack volledig voorkomen kon worden is niet vast te stellen.