Cyberincident ministerie van Financiën: de terugblik
Wat er op 19 maart gebeurde
Op 19 maart stelde het ministerie van Financiën vast dat een onbekende partij zonder toestemming toegang had gekregen tot een deel van de ICT-systemen. Het ging daarbij uitsluitend om systemen van het beleidsdepartement. De Belastingdienst, Douane en Toeslagen bleven buiten schot, en ook de voorjaarsbesluitvorming kon gewoon doorgaan. Minister Heinen informeerde de Tweede Kamer op 18 juni per brief over het verloop van het incident. Inmiddels zijn alle restricties opgeheven en zijn de systemen van het beleidsdepartement volledig weer toegankelijk.
Lees voor meer context over actuele ontwikkelingen bij de rijksoverheid ook de kennis- en inspiratieartikelen op Ambtenaar.Online.
Hoe de digitale inbraak verliep
De inbraak liep via systemen die een externe leverancier voor het ministerie beheerde. Zodra het incident bekend werd, nam de leverancier in afstemming met het ministerie nog diezelfde dag maatregelen en sloot bepaalde voorzieningen af. De aanvaller maakte gebruik van een tot dan toe onbekende kwetsbaarheid in de software, waarvoor op dat moment geen beveiligingsupdates beschikbaar waren. Dit type kwetsbaarheid, ook wel een zero-day genoemd, laat geen ruimte voor preventieve patching vooraf.
De systemen zelf liepen geen fysieke schade op, mede omdat er snel werd ingegrepen. Gegevensdiefstal is echter aannemelijk. Betrokken medewerkers zijn geïnformeerd en kregen begeleiding om de gevolgen zo beperkt mogelijk te houden. Welke bestanden precies zijn buitgemaakt, valt vermoedelijk niet meer te achterhalen: aanvallers wissen in dit soort situaties doorgaans hun digitale sporen zorgvuldig.
Welke maatregelen het ministerie nam
Direct na de ontdekking werden verbindingen naar bepaalde applicaties verbroken om verdere schade te voorkomen. Dat had als bijwerking dat medewerkers en externe partners tijdelijk geen toegang hadden tot diensten als schatkistbankieren. Na forensisch onderzoek en controle op de integriteit van de data bleek dat de applicaties zelf niet waren aangetast. Met aanvullende beveiligingscontroles konden ze daarna stap voor stap weer worden opgestart, waardoor de meeste werkprocessen konden hervatten.
Als aanvullende voorzorgsmaatregel werden de wachtwoorden van alle medewerkers van het beleidsdepartement preventief gereset. Dat is een standaard respons bij dit soort incidenten: ook als er geen directe aanwijzingen zijn voor misbruik van inloggegevens, sluit een reset een risico dat je liever niet open laat staan.
Professionals die actief zijn in IT en informatiebeveiliging bij de overheid kunnen vacatures in de publieke sector bekijken op Ambtenaar.Online.
Hoe de crisisorganisatie werd ingericht
Binnen het ministerie ging direct een interne crisisstructuur van start. Technische experts kwamen dagelijks bijeen, terwijl een bestuurlijke tafel de regie voerde en beslissingen nam. Het ministerie trok daarin samen op met de betrokken leverancier, externe beveiligingsspecialisten en het Nationaal Cyber Security Centrum (NCSC).
Verder nam het ministerie contact op met Team High Tech Crime (THTC) van de politie en deed het aangifte. Externe communicatie over het incident bleef bewust beperkt, om te voorkomen dat openbare informatie de aanpak zou bemoeilijken of nieuwe risico’s zou creëren.
Lessen voor de toekomst
Het ministerie evalueert het incident en verwerkt de opgedane inzichten in de continuïteits- en crisisplannen. Welke concrete maatregelen dat oplevert, wordt niet openbaar gemaakt. Wat wel duidelijk is: de multidisciplinaire samenwerking tussen informatiebeveiligingsexperts, medewerkers met kennis van de primaire processen en externe specialisten werkte goed. Die aanpak vormt een blauwdruk voor hoe de rijksoverheid bij toekomstige cyberincidenten wil opereren.
Voor de bredere publieke sector is dit incident een concreet voorbeeld van hoe crisisbeheersing bij een ernstige cyberaanval er in de praktijk uitziet: snel handelen, breed samenwerken en transparant communiceren waar dat veilig kan.
Bron: Rijksoverheid.nl, Terugblik cyberincident (18 juni 2026)