Het interne netwerk van onder andere Schiphol, Shell, KLM en honderden andere bedrijven in Nederland was maandenlang toegankelijk voor kwaadwillenden, schrijft de Volkskrant vrijdag. Bronnen vertellen aan de krant dat het Nationaal Cyber Security Centrum (NCSC) bijna een half jaar de nationale veiligheid niet kon waarborgen.
Er zou een lek hebben gezeten in de VPN-verbindingen van de getroffen netwerken. Met een VPN-dienst kunnen werknemers geblokkeerde websites in hun land alsnog bezoeken, via een omgeleide verbinding.
Door het lek zouden hackers “vrij eenvoudig” wachtwoorden en gebruikersnamen hebben kunnen achterhalen. Ook officiële documenten zouden zij hebben kunnen inzien.
Alle bedrijven binnen Nederland zouden de VPN-dienst van Pulse Secure gebruiken, schrijft het dagblad. Het bedrijf zou wereldwijd meer dan 20.000 klanten hebben, waaronder meerdere defensiebedrijven, Luchtverkeersleiding Nederland en meerdere zorgverleners.
De bronnen noemen met name het lek bij Luchtverkeersleiding Nederland “zorgelijk”, omdat hackers binnen luttele minuten in het systeem van de organisatie konden komen.
‘Lek werd in maart ontdekt, maar bedrijven stelden update uit’
Het lek zou door twee onderzoekers uit Taiwan aan het licht zijn gekomen en in maart aan Pulse Secure zijn gemeld. In april kwam er een update voor de VPN-dienst, maar volgens het dagblad waren tientallen Nederlandse bedrijven tot en met augustus nog steeds kwetsbaar, waaronder de rijksoverheid.
Pas nadat een beveiligingsexpert aan de bel trok bij het NCSC, zouden meer bedrijven de noodzakelijke update hebben uitgevoerd.
Op de vraag waarom het Cyber Security Centrum niet eerder ingreep, zegt de NCSC dat het “geen wettelijke bevoegdheid” tot ingrijpen heeft en de organisaties zelf verantwoordelijk zijn voor het nemen van maatregelen.
