Het Rijksinstituut voor Volksgezondheid en Milieu (RIVM) heeft zijn website tijdelijk offline gehaald na een hack. Dat gebeurde deze week om verdere schade te voorkomen en systemen veilig te stellen. De aanval lijkt willekeurig en geautomatiseerd. Het instituut onderzoekt de impact en werkt aan herstel.
Site bewust offline gehaald
RIVM schakelde de publieke website uit als voorzorgsmaatregel. Zo wordt ongewenste toegang geblokkeerd en kan forensisch onderzoek veilig plaatsvinden. Dit is een gebruikelijke stap bij cybersecurity-incidenten.
Door de ingreep is informatie over infectieziekten, vaccinaties en milieu tijdelijk minder goed bereikbaar. De kernprocessen van het instituut, zoals onderzoek en monitoring, draaien doorgaans op andere systemen. Het doel is om eerst zekerheid te hebben over de veiligheid, en pas daarna diensten gefaseerd te herstellen.
RIVM communiceert stapsgewijs over de voortgang en beschikbaarheid van informatie. Bij publieke organisaties ligt de nadruk in zo’n situatie op duidelijkheid en voorzichtigheid. Dat voorkomt onnodige risico’s en speculatie.
Aanval oogt niet gericht
De hack wordt omschreven als “willekeurig”, wat wijst op een opportunistische aanval. Veel aanvallen worden uitgevoerd door geautomatiseerde bots die het internet scannen op bekende zwakke plekken. De dader zoekt dan niet een specifiek doelwit, maar elke kwetsbare server of website.
Dit soort aanvallen misbruikt vaak verouderde software of slecht geconfigureerde plug-ins in een contentmanagementsysteem (CMS). Ook zwakke wachtwoorden en ontbrekende multifactor-authenticatie vergroten de kans op misbruik. Zonder nadere details blijft de exacte oorzaak onduidelijk.
Het label “niet gericht” betekent niet dat de risico’s klein zijn. Ook een geautomatiseerde aanval kan leiden tot verstoring of datatoegang. Daarom zijn snelle isolatie en controle cruciaal.
Onderzoek en meldplichten
RIVM onderzoekt of er toegang is geweest tot data en systemen. Als er persoonsgegevens betrokken zijn, gelden de regels van de Algemene verordening gegevensbescherming (AVG). Dan kan een meldplicht aan de Autoriteit Persoonsgegevens en eventueel aan betrokkenen gelden.
Voor vitale en essentiële organisaties gelden bovendien cybersecurity-eisen vanuit Europese regelgeving. Onder de NIS2-richtlijn hoort daar een snelle incidentmelding bij, met een eerste waarschuwing binnen 24 uur. In Nederland wordt dit, op het moment van schrijven, via aanpassing van de Wbni en sectorale afspraken ingericht.
Versleuteling en dataminimalisatie beperken de impact van een incident. Als gevoelige gegevens onleesbaar zijn opgeslagen, kan de meldplicht richting betrokkenen anders uitpakken. Die beoordeling hoort bij het lopende onderzoek.
Een datalek is elke inbreuk op de beveiliging die leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van persoonsgegevens, of tot ongeoorloofde toegang daartoe (definitie AVG).
Impact op publieke informatie
De website van RIVM is een belangrijke bron voor burgers en professionals. Tijdelijke onbeschikbaarheid kan zorgen voor hinder bij het vinden van actuele richtlijnen en cijfers. De keuze om offline te gaan is echter gericht op veiligheid en betrouwbaarheid op de lange termijn.
Publieke websites staan in de regel los van interne onderzoeksnetwerken. Die scheiding, netwerksegmentatie genoemd, verkleint de kans dat een webaanval doorwerkt naar andere systemen. Het blijft wel nodig om logbestanden en toegangsrechten zorgvuldig te controleren.
Alternatieve publicatiekanalen, zoals socials of overheidsportalen, kunnen tijdelijk uitkomst bieden. Toch vervangen ze een centrale kennisbank niet volledig. Herstel en gecontroleerde herstart blijven daarom prioriteit.
Europese regels stimuleren beveiliging
De Europese NIS2-richtlijn legt zwaardere eisen op aan beveiliging, melding en toezicht. Dat raakt ook publieke instellingen en leveranciers die aan hen diensten leveren. Voorbeelden zijn striktere logverwerking, multifactor-authenticatie en beheer van kwetsbaarheden.
Deze regels moeten de weerbaarheid van Europese digitalisering verhogen en ketenrisico’s verkleinen. Voor het bedrijfsleven betekent dit, op het moment van schrijven, dat contracten en processen worden aangescherpt. “Europese digitalisering gevolgen bedrijfsleven” vertaalt zich zo in concrete security-eisen.
Naast NIS2 blijft de AVG leidend voor privacy. Dat dwingt organisaties tot dataminimalisatie en versleuteling. Wie minder data bewaart en beter beschermt, loopt minder risico bij een incident.
Wat organisaties nu kunnen doen
Werk met strikt patchbeheer en snelle updates van alle software en plug-ins. Schakel multifactor-authenticatie in voor beheerders en externe toegang, zoals VPN’s. Gebruik een web application firewall (WAF) om veelvoorkomende aanvallen te filteren.
Zorg voor goede detectie met EDR, een systeem dat verdachte activiteiten op apparaten opspoort. Log belangrijk verkeer centraal en test herstelprocedures via oefenscenario’s. Maak offline en onveranderlijke back-ups om herstel te versnellen.
Leg afspraken vast met leveranciers over beveiliging en incidentmelding. Publiceer een responsible disclosure-beleid zodat onderzoekers veilig kwetsbaarheden kunnen melden. Zo verklein je de kans op een geslaagde aanval en beperk je de schade als het toch misgaat.