Grote ongerustheid, verbazing en vooral veel onzekerheid. Dat zijn de overheersende sentimenten onder de medewerkers van de Nationale Politie nu is gebleken dat de organisatie deze week slachtoffer is geworden van een flinke digitale overval. De minister van justitie en veiligheid David van Weel (VVD) schreef de Tweede Kamer vrijdag dat bij het hacken van een politieaccount de „werkgerelateerde contactgegevens van alle politiemedewerkers” zijn buitgemaakt.
„Dit is een bericht dat je liever niet hebt”, reageert een leidinggevende politiefunctionaris, die betrokken is bij het onderzoek dat onder meer de afdeling high tech crime van de Landelijke Eenheid uitvoert naar deze kwestie. Een andere politieman laat weten dat het nieuws over de informatiediefstal bij de grootste werkgever van Nederland (zo’n 62.000 werknemers) „enorm leeft” binnen de blauwe familie. „Juist omdat de risico’s en impact nog zo onduidelijk zijn.” Duidelijk is in ieder geval wel dat er bij de politie kolossaal is ingebroken.
Korpschef Janny Knol heeft zaterdagmiddag alle politieagenten een lange email gestuurd met uitleg. Ze schrijft dat „een kantoorautomatiserings-account gehackt is”. Er zijn volgens haar „zakelijke contactgegevens van collega’s uit Outlook buitgemaakt. Denk aan namen, emailadressen en telefoonnummers.”
Mijn allergrootste prioriteit is de bescherming van politiecollega’s en het voorkomen van verdere schade
Veel informatie heeft de politie nog niet vrijgegeven in deze zaak. De organisatie wil voorkomen misdadigers nog wijzer te maken met het delen van bevindingen uit een strikt confidentieel onderzoek. Maar er is alle reden om de inbraak „behoorlijk serieus te nemen”, zegt een ervaren rechercheur. „Dit is geen kwajongensstreek of hobbyisme geweest. Ook is er geen sprake van grove onzorgvuldigheid bij ons.”
Gestolen informatie nog nergens opgedoken
Voor zover nu bekend is de gestolen informatie nog nergens opgedoken. Vooral voor agenten die betrokken zijn bij undercoveroperaties, infiltratiewerk, geheime opsporingsonderzoeken of het bewaken, beschermen en beveiligen van personen die bedreigd worden zou dat levensgevaarlijk kunnen zijn. Toch zouden dit type politiemedewerkers redelijk goed afgeschermd zijn doordat ze bijvoorbeeld processen-verbaal opmaken onder nummer om hun naam geheim te houden.
„De meeste onrust in de organisatie bestaat onder ‘gewone’ agenten op straat. Ze vrezen de verspreiding van privé-gegevens via het internet en doxing”, zegt de voorzitter van politievakbond NPB, Nine Kooiman. Wijkagenten maar ook zogeheten Romeo’s (agenten die zich in burgerkleding mengen onder gewelddadige demonstranten) vrezen belaagd te worden.
De leidinggevende agenten, die vaak gewoon met naam, toenaam en foto te vinden zijn op bijvoorbeeld de sociaalnetwerksite LinkedIn, maken zich minder zorgen om hun eigen positie. „Voor hun gegevens hoeft een crimineel niks te hacken”, zegt een agent.
Korpschef Knol schrijft zaterdag dat collega’s op dit moment „keihard werken” om alle zorgen over de omvang van de inbraak weg te nemen. „Vanzelfsprekend worden daarbij alle mogelijke maatregelen getroffen om herhaling te voorkomen”, schrijft ze. „Mijn allergrootste prioriteit is de bescherming van politiecollega’s en het voorkomen van verdere schade.”
Informatie over inbraak via media vernomen
Onder veel politiemensen bestaat ongenoegen omdat ze vrijdag het nieuws over deze zaak veelal via de media moesten vernemen. Kamerleden ontvingen bericht, agenten niet. De politiebaas schrijft zaterdag zich hiervoor te excuseren. „Het nieuws ging sneller dan verwacht.”
Zaterdagmiddag is door de politie „een meldpunt” geopend waar ongeruste agenten terecht kunnen met vragen. „Verder kunnen we allemaal bijdragen om de mogelijke impact zo klein mogelijk te maken. Daarvoor doe ik een beroep op jullie. Wees de komende tijd extra alert op phishingmails of verdachte berichten en telefoontjes”, schrijft Knol. Agenten lopen volgens haar het risico gericht benaderd te worden met op de persoon toegeschreven phishingberichten.’’
Tweede Kamerlid Ingrid Michon-Derkzen (VVD) wil van de minister van justitie weten wat de risico’s zijn „voor de persoonlijke veiligheid” van agenten. De angst is dat door bijvoorbeeld nu buitgemaakte emailadressen van agenten te combineren met data die eerder gelekt of gestolen zijn bij andere bedrijven of organisaties politiemensen en wachtwoorden die ze veel gebruiken, te herleiden zijn.
‘Werkwijze op veel plekken achterhaald’
Afgelopen zomer wees de commissie onder leiding van oud-burgemeester Bernt Schneiders, die toezicht hield op de reorganisatie van de Landelijke Eenheid, al op de risico’s van cybercriminaliteit in eigen huis. In het eindrapport dat in juli verscheen schrijft de commissie dat „gelet op de huidige technologische mogelijkheden, de huidige werkwijzen binnen de Landelijke Eenheid op veel plekken achterhaald zijn en geen gelijke tred houden met de ontwikkeling die de criminaliteit en andere dreigingen doormaken”. De commissie pleitte voor „het ontwikkelen van één data-warehouse”. De politie zou daar inmiddels mee zijn begonnen.
Het blijft vooralsnog gissen naar de motieven van de hacker. Volgens een ervaren rechercheur lijkt het de inbrekers „vooralsnog niet a priori te gaan om het via het internet vrijgeven van alle gegevens, of het afdwingen van een grote som geld.” Een mogelijke reden voor de inbraak zou kunnen zijn de politie te willen intimideren. Dat kan zijn gebeurd door een criminele organisatie of door „statelijke actoren”, zoals politiebronnen het noemen. Een vreemde mogendheid, zo luidt een scenario waarmee wordt rekening gehouden, zou dan de Nederlandse politie hebben gehackt.