‘Netwerken van overheid en bedrijven maanden onbeveiligd’

Buitenstaanders konden makkelijk in de netwerken van onder meer Schiphol. Sommige instellingen wachtten lang met een update die het lek verhelpt.

Computer met inlogscherm.
Computer met inlogscherm. Foto Lex van Lieshout /ANP

Honderden bedrijven in Nederland en delen van de rijksoverheid werkten maandenlang met een onbeveiligd intern computernetwerk. Het beveiligingslek was ontstaan omdat de bedrijven verzuimden een cruciale update in hun interne netwerken door te voeren, schrijft de Volkskrant zaterdag. Onder meer Shell, KLM en Schiphol waren daardoor kwetsbaar voor bezoeken van mensen van buitenaf.

Het lek deed zich voor in de VPN-verbinding van aanbieder Pulse Secure. Deze verbindingen vormen een virtueel privénetwerk voor de bedrijven. De kwetsbaarheid in die verbindingen was al in maart van dit jaar ontdekt, waarna Pulse Secure een update voorschreef. Die verbetering werd in april beschikbaar gesteld aan alle klanten. Volgens de krant hadden eind augustus honderden bedrijven de update nog steeds niet uitgevoerd, ondanks een advies van het Nederlandse Nationaal Cyber Security Center (NCSC).

Nationale veiligheid

Het orgaan gaf in augustus nog een waarschuwing af: een onverholpen lek zou een „hoge” kans op misbruik hebben. De VPN-systemen worden gebruikt voor beveiligde omgevingen waarop moet worden ingelogd. Een lek in die systemen maakt dat kwaadwillenden gemakkelijk toegang krijgen tot specifieke systeemonderdelen van bedrijven: men kan zich voordoen als een medewerker. Zo waren de systemen van onder meer het ministerie van Justitie en Veiligheid en de Luchtverkeersleiding Nederland onbewaakt - onderdelen die van belang zijn voor de nationale veiligheid.

Volgens de Volkskrant werden in augustus die belangrijke overheidsinstellingen van de VPN-verbinding gehaald, om alsnog de update toe te passen. In de krant zijn experts kritisch over de positie van het NCSC, dat als waakhond moet functioneren maar blijkbaar bedrijven niet eerder kon dwingen de aanpassingen aan het netwerk over te nemen.

In een reactie op de berichtgeving stelt het NCSC dat het geen mandaat heeft om in te grijpen of bedrijven te dwingen hun beveiliging te veranderen. Tegenover persbureau ANP stelt een woordvoerder dat het NCSC geen toezichthouder is en alleen informatie of adviezen kan uitgeven.

Nu zouden nog bij tientallen Nederlandse gebruikers de systemen onverbeterd zijn: 140 systemen staan „open”, aldus de Volkskrant.

Correctie zaterdag 28 september 2019: In een eerdere versie van dit artikel werd abusievelijk melding gemaakt van het ministerie van Veiligheid en Justitie. Die benaming klopt niet, het desbetreffende ministerie gaat over Justitie en Veiligheid. In de versie hierboven is dat aangepast.

Correctie maandag 30 september 2019: In een eerdere versie van dit artikel werd het NCSC het Nederlandse Nationaal Cyber Security Center genoemd. Dit klopt niet. Het het Nationaal Cyber Security Centrum. Dit is inmiddels aangepast.