‘Nederlandse overheid wist wie gehackt kon worden, maar waarschuwde niet’
Het ministerie van Justitie en Veiligheid wist van tevoren welke bedrijven risico liepen bij een grote VPN-hack eerder deze maand, maar deed niets met die informatie. Uiteindelijk werden inloggegevens van zeker 900 bedrijven online gezet.
De Nederlandse overheid heeft nagelaten om bedrijven, waaronder een reeks Nederlandse organisaties, te waarschuwen voor een mogelijke hack. Dat schrijft de Nederlandse krant Het Financieele Dagblad.
Beveiligingsonderzoeker Matthijs Koot vond eerder dit jaar honderden kwetsbare servers bij Nederlandse bedrijven en seinde het Nationaal Cyber Security Center (NCSC) daarover in. Dat deed niets met het grootste deel van de informatie, omdat het alleen kijkt naar de Rijksoverheid zelf en naar ‘vitale’ bedrijven als banken en telecombedrijven.
Een woordvoerder van het ministerie zegt tegen de krant dat het NCSC er alles aan heeft gedaan om organisaties binnen de “juridische mogelijkheden” te informeren. “Maar organisaties buiten het wettelijke mandaat kunnen helaas niet door het NSCS geïnformeerd worden.” Koot noemt dat een “passieve en formalistische reactie”.
VPN-kwetsbaarheid
De gegevens zijn waarschijnlijk gestolen via een beveiligingslek in VPN-software Pulse Secure, waarmee medewerkers vanuit huis beveiligd kunnen inloggen op hun bedrijfsnetwerk. Dat lek is al ruim een jaar geleden met een update gedicht, maar die is door veel bedrijven niet direct geïnstalleerd. Eerder deze maand werden gegevens van 900 van deze VPN servers, waaronder wachtwoorden, op een Russisch hackersforum gelekt.
Onder andere een dochterbedrijf van VDL, datacenterbedrijf ITB2 en porseleinfabrikant Villeroy & Boch zijn slachtoffer geworden van de hack, schrijft het FD. Onderzoeker Koot is hier boos over, omdat het voorkomen had kunnen worden. Zelfs nu de bedrijven zijn gehackt, worden ze niet door het NCSC op de hoogte gebracht. “Niet-vitale bedrijven leveren geregeld diensten aan de vitale sector en kunnen zo alsnog vitale bedrijven besmetten”, aldus Koot in de krant.
Fout opgemerkt of meer nieuws? Meld het hier