Een hacker heeft de inloggegevens van zeker 900 Nederlandse bedrijven online gezet. Hij maakte handig gebruik van een kwetsbaarheid in de zakelijke VPN-software 'Pulse Secure'. Wat het incident nog erger maakt is dat het aantal slachtoffers veel lager had kunnen liggen.
Het lek was al meer dan een jaar bekend en informatiebeveiligers hadden het Nationaal Cyber Security Center (NCSC) van het gevaar op de hoogte gebracht. De instantie deed er vervolgens vrijwel niets mee, omdat de bedrijven niet ‘vitaal’ zouden zijn. Dat belemmert het NCSC om te grijpen.
Ondernemers
Eén van de dingen die ondernemers kunnen doen om hun bedrijfsnetwerk te beschermen tegen ongenode gasten, is door hun software regelmatig te patchen. Daarmee verkleinen ze de kans dat hackers en cybercriminelen kwetsbaarheden misbruiken om zo het bedrijfsnetwerk binnen te dringen. Met alle mogelijke gevolgen van dien. Om deze potentieel gevaarlijke beveiligingsrisico’s te dichten, moet de systeembeheerder uiteraard wel op de hoogte daarvan zijn.
Dankzij deze zaak wordt pijnlijk duidelijk wat er gebeurt als je niet tijdig actie onderneemt. Volgens ZDNET en het Financieel Dagblad zat er een kwetsbaarheid in de VPN-software van Pulse Secure. Daarmee kunnen zakelijke klanten op afstand inloggen op hun bedrijfsnetwerk. Door een fout in de software was het voor kwaadwillenden echter mogelijk om zonder wachtwoord de volledige toegang tot de server te krijgen.
Update al een jaar beschikbaar
Een update voor het kritieke beveiligingslek is al meer dan een jaar beschikbaar. Toch bleven veel bedrijven kwetsbaar. Beveiligingsdeskundigen als Matthijs Koot vonden bij honderden servers deze kwetsbaarheid. Alle getroffen bedrijven daarvan op de hoogte stellen was onbegonnen werk. Daarom speelden zij hun vondsten door aan het NCSC, dat onder de verantwoordelijkheid van het ministerie van Defensie valt.
Het NCSC
Het NCSC zet zich in voor een ‘digitaal veilig Nederland’, onder meer door informatie over kwetsbaarheden te verzamelen en zijn kennis te delen met het bedrijfsleven. De organisatie helpt echter alleen de Rijksoverheid en bedrijven uit de vitale sector, zoals banken en telecombedrijven. De elektronicawinkel met een klantenbestand dat gelekt is moet het doen zonder de hulp van het NCSC.
Door het geringe werkveld van het NCSC, zijn de juridische mogelijkheden beperkt. Toen informatiebeveiligers hun lijst aan de instantie gaf, kon de instantie helemaal niets met het gros van de aangereikte informatie. Door deze belemmering liggen de inlognamen en wachtwoorden van zeker 900 Nederlandse bedrijven nu op straat. Onder de slachtoffers vallen onder meer een dochterbedrijf van het industriële concern VDL, datacenterbedrijf ITB2 en de in kerstversieringen gespecialiseerde groothandel Coen Bakker Deco. Ook een groot aantal buitenlandse bedrijven is getroffen door de beveiligingsfout.
Gepubliceerd op een forum
Volgens ZDNET zijn de data tussen 24 juni en 8 juli verzameld en gepubliceerd op een forum waar veel Russische hackers komen.
Het ministerie van Justitie laat in een reactie tegenover het Financieel Dagblad weten dat “organisaties buiten het wettelijke mandaat helaas niet door het NCSC geïnformeerd worden”. Ook nu bekend is welke bedrijven zijn gehackt, mag het NCSC ze niet op de hoogte daarvan stellen.
Vitale en niet-vitale bedrijven
Beveiligingsspecialist Matthijs Koot is niet te spreken over de situatie. “Er liggen nu allerlei wachtwoorden van medewerkers op straat, terwijl dat voorkomen had kunnen worden (…) Ik snap dat het NCSC prioriteiten moet stellen, maar dat is geen argument om bij ernstige kwetsbaarheden niets te doen. Als hackers bijvoorbeeld gijzelsoftware installeren, kan dat ook een niet-vitaal bedrijf grote schade toebrengen”, aldus Koot. Ook wijst hij erop dat vitale en niet-vitale bedrijven aangevallen kunnen worden via hun leveranciers. “Niet-vitale bedrijven leveren geregeld diensten aan de vitale sector en kunnen zo alsnog vitale bedrijven besmetten.”
Stichting Digitale Infrastructuur Nederland
Michiel Steltman, directeur van de brancheorganisatie Stichting Digitale Infrastructuur Nederland, valt Koot bij. Hij is van mening dat het NCSC beschikbare informatie moet doorgeven aan alle bedrijven, ook als ze niet onder de vitale sector vallen. “Je ziet dat zo ongeveer alle bedrijven hun best doen om hun cyberveiligheid op orde te houden, maar ook dat bedrijven dingen missen. Waarschuwen is niet alleen goed voor die bedrijven zelf. Het gaat ook om het nationale belang”, zo zegt Steltman tegen het Financieel Dagblad. Het is evident dat de nationale veiligheid niet wordt gediend met dit beleid.”
Bron: zdnet.com, fd.nl, vpngids.nl