Overheid negeert waarschuwingen over hacks bij niet-vitale bedrijven

Het ministerie van Justitie en Veiligheid heeft al maanden geleden waarschuwingen gekregen dat een groot aantal organisaties in Nederland gevaar liep, maar ondernam geen actie. Nu zijn gevoelige gegevens van een aantal van die bedrijven online gezet net als van vele honderden organisaties in het buitenland. Het ministerie zegt 'geen mandaat' te hebben om alle organisaties die gevaar lopen, te waarschuwen.

Dat had wel moeten gebeuren, vinden onder meer Matthijs Koot die de kwetsbaarheden bij honderden Nederlandse bedrijven had geconstateerd en Michiel Steltman, directeur van brancheorganisatie Stichting Digitale Infrastructuur Nederland, in het FD vanochtend.

Koot had na zijn ontdekking het ministerie ingelicht omdat het voor hem onmogelijk was alle bedrijven individueel te benaderen. Hij ging er vanuit dat het Nationaal Cyber Security Center (NCSC) die mogelijkheden wel had. Maar dat deed niets met de informatie. Volgens het ministerie kijkt het NCSC alleen naar kwetsbaarheden bij de Rijksoverheid en voor de Nederlandse economie 'vitale' organisaties zoals banken en telecombedrijven. Bescherming bieden aan 'niet-vitale' organisaties valt buiten het mandaat van NCSC.

Gegevens 900 bedrijven online

Het gevolg is nu dat verschillende Nederlandse bedrijven slachtoffer zijn geworden van een hack via een kwetsbaarheid in de VPN-software van Pulse Secure, waarmee werknemers op afstand toegang kunnen krijgen tot bedrijfsinformatie. Het gaat volgens het FD onder meer om industriële concern VDL, datacenterbedrijf ITB2 en de in kerstversieringen gespecialiseerde groothandel Coen Bakker Deco. Een softwarefout stelde de aanvaller in de gelegenheid volledige toegang tot de server te krijgen. Daarbij werden onder meer inloggegevens buitgemaakt. Vermoedelijk vonden de hacks plaats in de periode tussen mei en juli. De gegevens van in totaal 900 organisaties zijn begin augustus door een Russisch-sprekende hacker geplaatst op een forum waar ransomware-bendes gegevens uitwisselen, ontdekte ZDNet.

Volgens het FD had een week geleden nog zeker de helft van alle bedrijven van wie de gegevens online waren gezet de patch nog altijd niet aangebracht. Het betreffende lek is al een jaar geleden ontdekt en gerepareerd. Koot en Steltman vinden het een taak van NCSC wanneer informatie over kwetsbaarheden beschikbaar is, bedrijven actief te benaderen.

Overigens was zowel de informatie over de kwetsbaarheid en de mogelijkheden van NCSC al lang bekend. Dat leidde er begin dit jaar te dat Koot samen met Frank Breedijk, CISO bij Schuberg Philis het Nederlands Security Meldpunt oprichtte - onderdeel van het Dutch Institute for Vulnerability Disclosure. Die organisatie wil bedrijven wel op een laagdrempeliger manier waarschuwen, maar vindt het primair een taak van de overheid. Breedijk: "Onze belangrijkste grieven zijn dat het ministerie van Justitie en Veiligheid, waar het NCSC onder valt, wist van de beveiligingsproblemen maar met een deel niets heeft gedaan. En dat het NCSC niet duidelijk is wat het met meldingen doet. Als je een beveiligingsprobleem in Nederland wil melden, lijkt het toch logisch dat je aanklopt bij een overheidsorgaan wat zich Nationaal Cybersecurity Center noemt."