Verantwoordelijkheid voor budgetlek ligt bij leiding van OBR, blijkt uit onderzoek

Inleiding en bevindingen van het onderzoek

Het rapport onthult dat meerdere pogingen werden ondernomen om toegang te krijgen tot de URL van het prognose document voorafgaand aan de publicatie op Budget Day. De lek van het budget van Rachel Reeves is niet veroorzaakt door kwaadaardige cyberaanvallen; de verantwoordelijkheid ligt bij het leiderschap van de Organisatie voor Budgetverantwoordelijkheid (OBR).

De fiscale prognose van de OBR, die de details onthulde van de recordbrekende belastingverhogingsplannen, werd op woensdagochtend om 11.35 uur geopend, ongeveer een uur voordat mevrouw Reeves haar toespraak hield.

Een onafhankelijk onderzoek, uitgevoerd kort na de budgetpresentatie, stelde vast dat er “niets wees op” een aanval door buitenlandse actoren of cybercriminelen, noch op enige samenspanning binnen de organisatie van de OBR zelf.

Het rapport stelt dat het niet simpelweg een geval was van het te vroeg indrukken van de publicatieknop op een lokaal beheerde website. Het concludeerde dat “configuratiefouten” ervoor zorgden dat de bescherming die documenten direct vóór de publicatie verborgen hield, niet correct was geïmplementeerd.

Volgens het onderzoek ligt de uiteindelijke verantwoordelijkheid voor de omstandigheden waaronder de kwetsbaarheid zich voordeed en werd blootgelegd, bij het leiderschap van de OBR, over de jaren heen.

Rol van het leiderschap en gerelateerde reacties

Richard Hughes, voorzitter van de OBR, heeft onder druk gestaan om de lek te verklaren. Hij bood onmiddellijk zijn excuses aan en gaf opdracht tot het onderzoek. Het onderzoek wordt geleid door professor David Miles en Tom Josephs, met barones Sarah Hogg en Dame Susan Rice als niet-uitvoerende leden.

De organisatie telt 52 vaste medewerkers, allemaal ambtenaren, waarvan zes zich bezighouden met strategie, operaties en communicatie.

Het rapport erkent dat het lek “het patroon van Budget Day beïnvloedde, wat nadelig was voor de minister van Financiën.”

Gedetailleerde tijdlijn van het lek

1. 05:10 uur: De hostingdienst van de OBR e-mailde het personeel om de server aanpassing te bevestigen voor hogere websiteverkeer bij de release van de prognose.
2. 05:16 uur: Een verzoek werd gedaan om toegang te krijgen tot de URL van het prognose document; de PDF was nog niet geüpload. Tussen dit tijdstip en 11:30 uur gebeurden 44 mislukte verzoeken vanaf zeven IP-adressen.
3. Vanaf 09:00 uur: De webontwikkelaar zette conceptpagina’s op in het contentmanagementsysteem en creëerde identificaties voor downloads.
4. 11:02 uur: De PDF-documenten, inclusief de prognose, werden naar de webontwikkelaar gemaild.
5. 11:03–11:35 uur: De webontwikkelaar begon documenten te uploaden naar het conceptgedeelte van de OBR-website, dat niet publiekelijk toegankelijk was.
6. 11:35 uur: De eerste succesvolle aanvraag voor de URL werd gedaan door een IP-adres die eerder 32 mislukte pogingen had gedaan. Tussen dat moment en 12:07 uur werden 43 succesvolle verzoeken gedaan door 32 verschillende IP-adressen.
7. 11:41 uur: Een Reuters-nieuwsalert is de eerste aanwijzing dat de prognose publiekelijk beschikbaar kwam.
8. 11:43 uur: De OBR werd door een niet-Reuters-journalist geïnformeerd dat Reuters details van de prognose publiceerde. OBR-medewerkers, die niet wisten dat de URL al toegankelijk was, vonden geen bewijs van een per vergissing live gegaan webpagina.
9. Vanaf 11:50 uur: Afbeeldingen en gegevens uit de prognose verschenen breed online vanuit meerdere bronnen.
10. 11:52 uur: Topfunctionarissen van de OBR en de Schatkist hadden een telefonische vergadering over de inbreuk. Medewerkers van de Schatkist informeerden de OBR over de URL.
11. 11:53 uur: Nadat de OBR-medewerkers en de webontwikkelaar probeerden de PDF en heel de website offline te halen, ondervonden zij aanvankelijk problemen door overbelasting van de website.
12. 11:58 uur: Een Reuters-journalist mailde de OBR om te bevestigen dat zij details hadden gepubliceerd en vroeg om een reactie.
13. 12:07 uur: De PDF van de prognose werd door de webontwikkelaar hernoemd, maar bleef zichtbaar via zoekmachines en de archieven van het internet.
14. 12:08 uur: De PDF werd van het CMS verwijderd; de website werd offline gehaald. Het leiderschap en het team van de OBR schreven een verklaring over de gebeurtenissen en bevestigden dat de website de oorzaak van de fout was.
15. 12:15 uur: De verklaring werd geplaatst op de website van de OBR en op X.
16. 12:34 uur: De toespraak van de minister van Financiën begon.
17. 13:38 uur: Eindigde de toespraak en werden de prognose en ondersteunende documenten online gezet.

Andere ontdekkingen en oorzaken van het lek

Het rapport onthulde dat eveneens de Spring Budget 2025 van de OBR eerder was geopend dan gepland, maar dat de verklaring hiervoor “goedaardig” was. Daarnaast werd vastgesteld dat het budgetvoorspellingsdocument van vorige week meerdere pogingen kende om toegankelijk te worden voordat het per ongeluk werd gepubliceerd.

Systeemfouten en aanbevelingen

Het onderzoek wijt een deel van de schuld aan het Ministerie van Financiën en het Kabinet, dat de IT-diensten van de OBR in 2023 integraleerde in het gedeelde systeem van het Ministerie van Financiën, om nauwkeuriger af te stemmen op de veiligheidsmaatregelen van de schatkist. Het rapport benadrukt dat het Ministerie meer aandacht moet besteden aan het controleren van het budget van de OBR, dat momenteel 6,4 miljoen Britse ponden bedraagt.

De organisatie stond onder druk om het volledige economische en fiscale overzicht uit te geven zodra de minister klaar was met haar budgettoespraak. Hiervoor werd gebruik gemaakt van een “voorpublicatiefaciliteit”, hoewel deze volgens het rapport een risico vormde dat niet goed was geconfigureerd.

Het externe webontwikkelbedrijf, dat het OBR-team 15 jaar ondersteunt, helpt bij het beheer van inhoud en uploads tijdens drukke periodes zoals de budgetpublicatie. Naarmate technologieën zich ontwikkelden en online bedreigingen toenamen, werden de risico’s van deze aanpak groter.

Het rapport concludeert dat het in de loop der jaren noodzakelijk was geweest om de opzet regelmatig te herzien en te beoordelen, wat niet is gebeurd. Aanbevolen wordt dat het proces voor het publiceren van prognoses direct wordt verwijderd uit de momenteel lokaal beheerde WordPress-website van de OBR en dat het wordt geïntegreerd in een overheidswebsite.