‘Nog eens honderden bedrijven onbeveiligd door lek in VPN-netwerk’

Om welke bedrijven het precies gaat, is om veiligheidsredenen niet bekendgemaakt. Het gaat om veel ICT-bedrijven, een groot ziekenhuis en een beursgenoteerd bedrijf.

Foto iStock

Een dag nadat bekend werd dat er een beveiligingslek in de VPN-verbinding van aanbieder Pulse Secure zat, blijkt dat nog een aanbieder, Fortigate VPN, kampt met dergelijke problemen. Met een VPN kunnen medewerkers vanuit bijvoorbeeld huis inloggen op het interne netwerk van een bedrijf. Volgens Reporter Radio is het lek nog niet gedicht en lopen bijna negenhonderd bedrijven en instellingen gevaar.

Om welke bedrijven het precies gaat, is om veiligheidsredenen niet bekendgemaakt. Het zou gaan om „opvallend veel ICT-bedrijven”, verschillende zorginstellingen, waaronder ook een groot ziekenhuis, onderwijsinstellingen en een beursgenoteerd bedrijf. Op de lijst staan ook bedrijven waarmee de overheid zaken doet. Het Nationaal Cyber Security Centrum (NCSC) heeft firma’s en instellingen gewaarschuwd.

Lees ook ‘Netwerken van overheid en bedrijven maanden onbeveiligd’

In mei heeft Fortigate een update doorgevoerd om het lek te dichten, maar deze bedrijven en instellingen hebben die nog niet geïnstalleerd. Volgens Reporter Radio is de kwetsbaarheid bij Fortigate de afgelopen weken „wereldwijd op grote schaal misbruikt”, maar of dit in Nederland ook zo is, is niet bekend.

Schiphol kwetsbaar

De Volkskrant onthulde zaterdag dat er een lek zat in de VPN van Pulse Secure. Het lek is gedicht, maar daarvoor waren onder meer Shell, KLM en Schiphol kwetsbaar voor bezoeken van mensen van buitenaf. Ook waren de systemen van het ministerie van Justitie en Veiligheid en de Luchtverkeersleiding Nederland onbewaakt.

De VPN-aanbieder ontdekte het lek in maart, waarna een maand later een update werd uitgeschreven. Eind augustus hadden nog lang niet alle bedrijven de update doorgevoerd, waarna Pulse Secure de belangrijke overheidsinstellingen uit de VPN heeft gehaald. Nog altijd zijn nog 140 systemen niet geüpdatet.