Ruim zevenhonderd pagina’s vertrouwelijke politiedossiers over terrorisme zijn gedurende langere tijd voor iedereen toegankelijk geweest via internet. In de documenten van Europol worden 54 Europese terrorisme-onderzoeken genoemd. Tv-onderzoeksprogramma Zembla vond de stukken op een back-up-schijf van Iomega die onbeveiligd met internet was verbonden. Saillant detail: KRO-onderzoeksprogramma Reporter onthulde in 2012 al een soortgelijk datalek.
Europol is een samenwerkingsverband tussen de politiediensten van de Europese Unie en heeft zijn hoofdkantoor in Den Haag. De bestanden zijn door een medewerkster van de Nationale Politie, die tot begin dit jaar bij Europol werkte, tegen de regels in vanuit het hoofdkantoor meegenomen naar huis. Vervolgens maakte zij een back-up van de documenten op een privé-netwerkschijf van Iomega, een harddisk die zonder wachtwoord met internet was verbonden.
De Europese politiewaakhond heeft de fout toegegeven en spreekt van een ‘zeer ernstig incident’. ‘Dit raakt de vertrouwelijkheid en dat is ook de reden dat we meteen een onderzoek hebben ingesteld, om te kijken hoe dit heeft kunnen gebeuren’, aldus Wil van Gemert, adjunct-directeur van Europol in de tv-uitzending van Zembla die vanavond wordt uitgezonden.
Terrorisme
De documenten, die zijn voorzien van meerdere geheimhoudingskenmerken, bevatten analyses van terroristische groepen en honderden namen en telefoonnummers van mensen die met terrorisme in verband worden gebracht. Het betreft voornamelijk documenten uit de periode 2006 tot 2008, waaronder analyses van de Hofstadgroep, de bomaanslagen in Madrid en verijdelde aanslagen op vliegtuigen met vloeibare explosieven. Maar er worden ook tal van terrorisme-onderzoeken genoemd die nooit in de openbaarheid zijn gekomen, aldus Zembla.
Europol heeft naar aanleiding van dit lek onderzoek gedaan in acht Europese lidstaten naar de mogelijke gevolgen. De opsporingsorganisatie stelt dat het datalek geen gevolgen heeft voor lopende terrorisme-onderzoeken, maar kan niet uitsluiten dat behalve Zembla ook anderen toegang tot de netwerkschijf hebben gehad. Om geen terrorisme-onderzoeken in gevaar te brengen, zal het onderzoeksprogramma de stukken niet integraal openbaar maken en geen namen van verdachten noemen.
Lenovo, mede-eigenaar van het merk Iomega (Dell EMC is de andere), zegt in een reactie dat het beveiligen van de netwerkschijven een eigen verantwoordelijkheid van gebruikers is. De Iomega-netwerkschijven zijn tussen 2009 en 2015 geproduceerd. Alleen in het laatste jaar dat de apparaten werden gemaakt, was het instellen van een wachtwoord verplicht.
KRO Reporter
Europol leert kennelijk overigens niet van gemaakte fouten: in 2012 onthulde KRO-televisieprogramma Reporter reeds een lek bij de dienst. Toen bleek dat een ict’er van dienstverlener Orange Business Services per ongeluk meerdere vertrouwelijke documenten van de Europese politieorganisatie Europol via internet had gelekt. Hij had de informatie op een network attached storage (nas)-schijf van – jawel – Iomega opgeslagen die hij privé gebruikte. In de uitzending liet de KRO zien dat op Iomega-schijven het wachtwoord standaard staat uitgeschakeld en als dit niet wordt aangezet, een schijf via internet benaderbaar is.
Een woordvoerster van Europol bevestigt dat het gaat om twee verschillende datalekken. De Europese politie-organisatie heeft de laatste tijd wel extra geïnvesteerd in ict-beveiliging en de bestrijding van cybercrime, onder andere via het aantrekken van McAfee en Motiv als ict-partners op dit vlak.
Zembla
De uitzending van Zembla is woensdag 30 november 2016 om 21.15 uur bij de VARA te zien op NPO 2.