DPIA Cisco WebEx
Op 4 juni jl. zijn vragen aan het Nationaal Cyber Security Centrum (NCSC) gesteld door een journalist die werkt aan een artikel voor Zeit Online over kwetsbaarheden in Webex Cloud. De journaliste geeft aan dat er duizenden ´overleglinkjes´ zijn gevonden met daarin metadata van Webex-overleggen van de Nederlandse Rijksoverheid. Het gaat daarbij o.a. om gesprekken van verschillende bewindspersonen (MinJenV, MinIenW, MinVWS, MinFin). De CISO Rijk laat weten dat er melding zal worden gedaan bij de Autoriteit Persoonsgegevens. Op grond van de bij ingebruikname uitgevoerde DPIA en risicoanalyse voor informatiebeveiliging en de aan de hand daarvan genomen maatregelen, acht de CISO het zeer onwaarschijnlijk dat er inbreuken op de overleggen hebben plaatsgevonden.
De CISO schrijft:
Bij de ingebruikname van WebEx binnen de rijksoverheid is behalve een DPIA ook een risicoanalyse uitgevoerd voor informatiebeveiliging. De maatregelen zijn in opzet, bestaan en werking beoordeeld. De DPIA is in 2024 geactualiseerd. Bij het uitvoeren van de analyses is afgesproken dat Cisco bewijsmateriaal aanlevert om aan te tonen dat zij voldoet aan alle gestelde eisen en dit periodiek opnieuw aanlevert. Dit betreft materiaal zoals auditrapporten, penetratietestrapporten, SOC2 type 2 rapporten en nog meer.
Een van de geïdentificeerde risico’s was dat hackers, of andere onbevoegden, kunnen proberen toegang te krijgen tot de voorziening. Om dat risico te beheersen zijn verschillende maatregelen genomen op mens, proces en technologie. Door de genomen maatregelen is het op voorhand zeer waarschijnlijk dat er geen inbreuken op de overleggen heeft plaatsgevonden.
Zie nota CISO aan StasBZK van 4 juni 2024