Datalek

Computersystemen bedrijven en overheidsinstanties ‘staan maanden open voor hackers’

De computernetwerken van honderden Nederlandse bedrijven en organisaties zijn maandenlang zeer kwetsbaar geweest voor indringers, blijkt uit onderzoek van de Volkskrant. Aan waarschuwingen om een cruciale update uit te voeren werd traag gehoor gegeven.

De interne netwerken van honderden bedrijven en instanties blijken maandenlang open te hebben gelegen door een lek in de zogeheten vpn, een beveiligde verbinding tussen gebruikers en een intern netwerk. Bronnen zeggen tegen de Volkskrant dat het onder meer gaat om KLM, defensiebedrijven, het ministerie van justitie en veiligheid en Luchtverkeersleiding Nederland.

Waarschuwingen van de leverancier van de vpn-verbindingen werden door veel bedrijven en instanties maandenlang genegeerd, aldus de krant. De digitale waakhond in Nederland, het Nationaal Cyber Security Center (NCSC), waarschuwde ook maar heeft geen wettelijke bevoegdheden om organisaties te dwingen maatregelen te nemen als zij adviezen niet opvolgen.

De leverancier van de vpn-verbindingen is Pulse Secure, wereldwijd een grote leverancier. Dat werd afgelopen maart door twee Taiwanese onderzoekers gewaarschuwd voor het lek. Kwaadwillenden zouden zonder al te veel specialistische computerkennis bestanden kunnen uitlezen, gebruikersnamen en wachtwoorden achterhalen en spionagesoftware in de netwerken kunnen plaatsen.

Nationale veiligheid

Pulse Secure bracht in april een update uit met het dringende advies aan alle klanten om die zo snel mogelijk in hun netwerken te installeren, en het NCSC nam dat advies over. Eind juni stuurt het bedrijf nog een herinnering rond. Nadat de onderzoekers in augustus hun bevindingen delen tijdens een hackersconferentie in de VS, wordt het lek in bredere kringen bekend en stuurt het NCSC een dringende waarschuwing dat de kans op misbruik nu hoog is.

De Volkskrant voert IT-beveiligingsexpert Matthijs Koot op, die afgelopen augustus ontdekt dat veel van de bij Pulse Secure aangesloten Nederlandse organisaties de update nog niet hadden uitgevoerd. Hij meldt dat aan het NCSC. Onder de 538 organisaties die hij telt zijn banken, verzekeraars, beursgenoteerde bedrijven, delen van de rijksoverheid, zorgaanbieders en twee instanties die cruciaal zijn voor de nationale veiligheid. Namen wil hij uit veiligheidsoverwegingen niet noemen.

Adviezen

Bronnen van de krant zeggen dat het onder meer gaat om de interne netwerken van grote concerns als KLM en Shell, maar ook die van de Luchtverkeersleiding Nederland en het ministerie van justitie en veiligheid. Nog steeds staan volgens de Volkskrant 140 computernetwerken van tientallen bedrijven open. Een groep Chinese staatshackers zou zelfs al bezig zijn geweest met pogingen om binnen te dringen via Pulse Secure, meldde de technologiewebsite ZDNet, met spionage als doel.

Een woordvoerder van het NCSC – dat valt onder het ministerie van justitie en veiligheid - wijst erop dat de instantie geen toezichthouder is, maar alleen informatie verspreidt en adviezen geeft over cyberveiligheid. Ook biedt het NCSC desgevraagd hulp en doet het eigen onderzoek. Ingrijpen mag de instantie echter niet, omdat ‘organisaties zelf verantwoordelijk zijn voor het nemen van maatregelen’. Ook na gerichte waarschuwingen, zelfs aan vitale overheden, kan het NCSC slechts afwachten of actie wordt ondernomen.

Lees ook:

Sluizen en elektriciteitscentrales zijn kwetsbaar voor hackers

Een simpele online zoekopdracht, meer hadden onderzoekers van de Universiteit Twente niet nodig om bijna duizend aan internet gekoppelde systemen te vinden, delen van de vitale infrastructuur van Nederland. Zo’n zestig bleken kwetsbaar voor hacks.

Chinese hackers braken in bij tientallen telecomnetwerken, zeggen onderzoekers

Hackers uit China hebben ingebroken in de computers van een dozijn telecombedrijven in dertig landen. De aanvallers zitten in sommige gevallen zo diep in de IT-systemen dat ze telefoonnetwerken kunnen overnemen en platleggen. Dat meldde het Israëlisch-Amerikaanse cybersecuritybedrijf Cybereason afgelopen juni.

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden