De Justitiële ICT Organisatie (JIO), verantwoordelijk voor de IT-systemen van onder andere het ministerie van Justitie en Veiligheid, is het afgelopen jaar twee keer het doelwit geweest van cyberaanvallen. Ondanks interne waarschuwingen om systemen offline te halen, bleef de organisatie online vanwege onzekerheid over de werking van elektronische enkelbanden voor gedetineerden. Dit blijkt uit onderzoek van het radioprogramma Argos.

Volgens betrokkenen en cybersecurityexperts gaat het om een ernstige situatie, waarbij aanvallers mogelijk toegang kregen tot systemen van verschillende justitiële instanties, zoals de Dienst Justitiële Inrichtingen (DJI) en de Dienst Terugkeer en Vertrek. Een van de incidenten vond plaats via een kwetsbaarheid in Citrix-software die wordt gebruikt voor thuiswerken. Ditzelfde lek werd in 2025 ook misbruikt bij het Openbaar Ministerie (OM), dat toen besloot zijn systemen volledig offline te halen, wat leidde tot grote verstoringen in de strafrechtketen. De JIO koos echter voor een andere aanpak en hield de systemen online, mede vanwege onduidelijkheid over de impact op het toezicht op enkelbanden.

Daarnaast werd twee weken geleden een andere hack gemeld waarbij via een kwetsbaarheid in Ivanti-software toegang werd verkregen tot systemen van de Dienst Justitiële Inrichtingen. Hackers hadden daar mogelijk maandenlang toegang. Het nieuwe onderzoek van Argos toont aan dat er naast dit incident ook een tweede, afzonderlijke cyberaanval heeft plaatsgevonden binnen de infrastructuur van de JIO.

Uit documenten en verklaringen blijkt dat de interne beveiliging mogelijk tekortschiet. Zo zou een configuratiefout ervoor hebben gezorgd dat een interne firewall nauwelijks bescherming bood, waardoor indringers zich verder binnen de netwerken konden bewegen. Ook was de monitoring van netwerkactiviteiten beperkt, waardoor onduidelijk is hoe ver de aanvallers zijn doorgedrongen. De JIO ontkent dit en stelt dat logging en monitoring correct functioneerden, maar erkent dat interne firewalls meer verkeer doorlieten dan strikt noodzakelijk.

De impact van de hacks kan aanzienlijk zijn, aangezien de JIO IT-infrastructuur beheert voor meerdere overheidsinstanties, waaronder de Autoriteit Persoonsgegevens en de Raad voor de Kinderbescherming. Kort na ontdekking werd beveiligingsbedrijf Fox-IT ingeschakeld voor forensisch onderzoek, waarvan de resultaten niet met de Tweede Kamer worden gedeeld vanwege veiligheidsredenen. Het incident roept vragen op over de beveiliging van kritieke overheids-IT en de omgang met cyberincidenten. Opmerkelijk is dat de toenmalige minister van Justitie en Veiligheid in 2025 nog meldde dat er geen aanwijzingen waren dat de Citrix-kwetsbaarheid was misbruikt. Eind februari vertrok de algemeen directeur van de JIO, Marcel Hoogland, zonder dat duidelijk is of dit verband houdt met de incidenten.