Cisco is in grote verlegenheid gebracht door het nieuws in de Duitse krant ‘Die Zeit’, die vorige week onthulde dat buitenstaanders makkelijk toegang kunnen krijgen tot Cisco-videomeetings van de overheid. Webex Leaks heet het nieuws inmiddels in Duitsland, nadat Die Zeit een week geleden onthulde dat het toegang had tot duizenden Cisco Webex videomeetings binnen de overheid, tot op ministerieel niveau. Zo zou uit deze gegevens informatie kunnen worden gehaald, bijvoorbeeld wanneer en hoe lang minister van Financiën Christian Lindner aan de telefoon wilde spreken met minister van Economische Zaken Robert Habeck. En in ieder geval potentieel zouden buitenstaanders naar dergelijke bijeenkomsten kunnen luisteren. De bron van Die Zeit heeft in Duitsland met enkele online vergaderingen kunnen meeluisteren. Zeit Online deed vervolgens verder onderzoek en ontdekte dat honderdduizenden Webex-bijeenkomsten van overheden en bedrijven in Duitsland, Nederland, Italië, Oostenrijk, Frankrijk, Zwitserland, Ierland en Denemarken potentieel openbaar toegankelijk waren. Of dit in Nederland daadwerkelijk is gebeurd, kan op dit moment niet uitgesloten worden, maar lijkt niet waarschijnlijk. Dit wordt nog onderzocht.
De staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, Digitalisering en Koninkrijksrelaties Alexandra van Huffelen is boos op Cisco. Pas een maand nadat het lek bij Cisco was gemeld, is het ministerie ingelicht. En dan ook nog via een publicatie in een Duitse krant. De staatssecretaris heeft vertegenwoordigers van het bedrijf ter verantwoording geroepen. Dat zegt dat de kwetsbaarheden inmiddels zijn weggenomen. Extra pijnlijk is dat Cisco Webex bekend staat als zeer veilig en daardoor ook door veel overheden, waaronder de Nederlandse en de Duitse, intensief wordt gebruikt. De staatssecretaris heeft de Tweede Kamer hierover per brief geïnformeerd.
Van Huffelen: “Ik vind het onacceptabel dat dit heeft kunnen gebeuren en dat deze kwetsbaarheden bij de Rijksoverheid via de Duitse media tot ons zijn gekomen, in plaats van via de leverancier. Daarbij maak ik mij zorgen over het lekken van informatie op deze wijze en de late reactie van de leverancier. Bestuurders en ambtenaren moeten er te allen tijde vanuit kunnen gaan dat zij veilig kunnen overleggen. Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) neemt deze kwestie daarom zeer serieus en onderzoekt hoe dit heeft kunnen gebeuren.”
In een informerende brief aan de Tweede Kamer stelt ze: “De kwetsbaarheden zaten in de Webex-software die door de Rijksoverheid wordt gebruikt voor videovergaderingen. Deze kwetsbaarheden leidden ertoe dat zogeheten metagegevens van Webex-vergaderingen van verschillende bewindspersonen gevonden konden worden.”
Beperkte gegevens
Voor zover nu bekend lijkt het te gaan om metagegevens, dat zijn: informatie over de naam van de host (persoonsnaam), het meeting-ID, de titel, en de start- en einddatum van het Webex-overleg. De gevonden kwetsbaarheden zijn inmiddels verholpen door softwarebedrijf Cisco.
De bron van Die Zeit heeft in Duitsland met enkele online vergaderingen kunnen meeluisteren. Of dit in Nederland is gebeurd, kan op dit moment niet uitgesloten worden, maar lijkt niet waarschijnlijk. Dit wordt nog onderzocht.
Bestuurders en ambtenaren moeten er te allen tijde vanuit kunnen gaan dat zij veilig kunnen overleggen. Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) neemt dit daarom zeer serieus en onderzoekt hoe dit heeft kunnen gebeuren. BZK heeft Cisco, het bedrijf achter het Webex-systeem, om opheldering gevraagd en op korte termijn ontboden op het ministerie. Daarnaast is er een melding bij de Autoriteit Persoonsgegevens gedaan en zijn de personen waarvan we weten dat gegevens zichtbaar waren voor derden geïnformeerd. Voor zover we nu hebben kunnen nagaan gaat het om metagegevens van overleggen van de ministers Harbers (IenW), Helder (VWS), De Jonge (BZK), Weerwind en Yesilgöz (JenV) en staatssecretaris Van Huffelen (BZK).
Dit incident heeft op dit moment geen gevolgen voor het gebruik van Webex door de Rijksoverheid. We blijven dit wel nauwlettend monitoren. Voor overleg over vertrouwelijke en andere extreem gevoelige informatie hanteert de Rijksoverheid geen Webex.”
Cisco Webex onder vuur
Webex stond de afgelopen maanden meerdere malen centraal in problemen met IT-beveiligingsproblemen. Waarschijnlijk het meest opvallend in maart, toen de hoofdredacteur van de Russische staatsomroep RT een opname publiceerde van een Webex-gesprek tussen vier hoge officieren bij de Duitse luchtmacht, die onder meer de theoretische inzet van de Taurus-cruise bespraken. raket in de Russische oorlog tegen Oekraïne. Het incident veranderde in een onaangename afluisteraffaire voor de Bundeswehr. Volgens minister van Defensie Boris Pistorius (SPD) was een “individuele toepassingsfout” de oorzaak; een deelnemer aan de conferentie maakte verbinding via een onveilige procedure. Er heeft geen spion ingebeld op de conferentie.
Uit onderzoek van ZEIT-ONLINE blijkt dat dat waarschijnlijk wel mogelijk was geweest. In mei ontdekte ZEIT ONLINE, na een tip van de vereniging Netzbegrünung, dat enkele duizenden links naar Bundeswehr Webex-conferenties openlijk online waren, waaronder veel vergaderingen die als vertrouwelijk waren geclassificeerd. In tegenstelling tot het huidige geval had het incident geen invloed op de Webex-cloudoplossing, maar eerder op de Webex-instantie van de Bundeswehr, die op zijn eigen servers draait. Het Ministerie van Defensie en Cisco ontkenden dat de kloof mensen in staat zou stellen onopgemerkt deel te nemen aan vertrouwelijke gesprekken. Kort daarna kon ZEIT ONLINE inbellen op een Webex-vergadering van het federale management van de SPD zonder herkend te worden.
Ontslagronde
Vrijwel gelijktijdig met dit nieuws werd bekend dat algemeen directeur Edwin Prinsen Cisco verlaat. Reden is dat de Nederlandse en de Belgische organisaties worden samengevoegd tot Cisco Benelux en onder leiding komt te staan van Cynthia Koetsier-Beerten. Zij komt bij Cisco Denemarken vandaan. Naast het vertrek van beide Cisco-directeuren in Nederland en verliezen bij de Nederlandse organisatie ruim veertig mensen hun baan; in België gaat het om zo’n vijfentwintig arbeidskrachten. De ontslagronde maakt deel uit van de wereldwijde sanering van 5 procent van d arbeidsplaatsen van nu 85.000 banen die Cisco eerder dit jaar aankondigde.
