De Citrix-omgeving van de Justitiële ICT Organisatie (JIO), gebruikt door medewerkers voor thuiswerken, is in 2025 gehackt. Dit bevestigt de organisatie tegenover onderzoeksprogramma Argos. De aanval maakte gebruik van dezelfde kwetsbaarheid als bij het Openbaar Ministerie (OM), dat hierdoor zijn systemen tijdelijk offline moest halen.

In tegenstelling tot het OM werd de Citrix-omgeving van de JIO niet offline gehaald. Dit was mede omdat onduidelijk was of de enkelbanden van gedetineerden nog zouden functioneren bij een afkoppeling van de systemen, aldus bronnen tegenover Argos. Op 17 juli 2025 besloot het OM uit voorzorg zijn interne systemen van het internet los te koppelen, nadat het Nationaal Cyber Security Centrum (NCSC) meldde dat mogelijk misbruik werd gemaakt van een kwetsbaarheid in Citrix.

Eind juli gaf de JIO aan onderzoek te doen naar de Citrix-omgeving van de Dienst Justitiële Inrichtingen (DJI) vanwege de aanval op het OM. Minister Van Weel van Justitie en Veiligheid meldde in augustus aan de Tweede Kamer dat via het NCSC signalen waren ontvangen dat ook bij de JIO gebruik was gemaakt van de kwetsbaarheid. De JIO overwoog het afkoppelen van de ict-omgeving, maar omdat er geen aanwijzingen waren voor daadwerkelijk misbruik en vanwege de operationele impact, werd besloten dit niet te doen. De kwetsbaarheid werd direct verholpen en er werd een onderzoek ingesteld, waaruit geen signalen van misbruik in de achterliggende it-omgevingen naar voren kwamen.

Bronnen stellen tegenover Argos dat aanvallers via de Citrix-server onopgemerkt toegang konden krijgen tot systemen van justitiële instellingen, mogelijk door een configuratiefout waardoor de interne firewall feitelijk was uitgeschakeld en monitoring en logging uit stonden. De JIO ontkent dit en stelt dat de firewall correct geconfigureerd was en dat logging en monitoring actief waren. Wel liet de binnenste firewall meer verkeer toe dan strikt noodzakelijk, maar dit verkeer bleef binnen de eigen veiligheidszone.

De interne firewall wordt beheerd door ict-dienstverlener Solvinity. Bronnen claimen dat via een verkeerd geconfigureerde firewall van Solvinity toegang was tot systemen van JIO-opdrachtgevers en andere klanten. Het ministerie van Justitie en Veiligheid ontkent dit en stelt dat er geen sprake was van een verkeerd geconfigureerde firewall.

Na de aanval heeft de JIO een extern cybersecuritybedrijf ingeschakeld voor onderzoek. De resultaten worden vanwege veiligheidsoverwegingen niet met de Tweede Kamer gedeeld.