Justitie was zelf ook laks met VPN-patch

"Het is juist dat, zoals de Volkskrant meldt, het interne netwerk van honderden organisaties in Nederland een aantal maanden een kwetsbaarheid had. Die kwetsbaarheid kwam voort uit het niet tijdig uitvoeren van beveiligingsupdates voor de zogenoemde virtual private network software van het bedrijf Pulse Secure", antwoordt de minister van Justitie en Veiligheid in antwoord op mondelinge Kamervragen.

Eerste waarschuwing

"Het NCSC, het Nationaal Cyber Security Centrum, dat onder mijn verantwoordelijkheid valt, heeft op 15 april een advies uitgebracht waarin het heeft gewezen op die kwetsbaarheid." Dit was de eerste waarschuwing waarin het NCSC aangaf dat de mogelijk aan te richten schade groot is maar dat de kans op misbruik van deze VPN-kwetsbaarheid klein is. Vervolgens heeft de instantie "de doelgroepen rijksoverheid en vitale-infrastructuurbedrijven actief daarover geïnformeerd".

Grapperhaus zegt dat organisaties op basis van die informering door het NCSC updates hebben kunnen uitvoeren. Alleen blijkt dat in de praktijk lang niet overal gedaan, zo wist de Volkskrant afgelopen weekend te onthullen. Dat geldt dus ook voor Justitie en Veiligheid zelf, vertelt de minister in het mondelinge vragenuur van gistermiddag. Daar is pas verandering in gekomen toen er kant-en-klare exploitcode openlijk beschikbaar is gekomen en het NCSC een tweede, dringendere waarschuwing heeft afgegeven.

Tweede waarschuwing

"Op 21 augustus is dat eerste advies door het NCSC omgezet in het hoogste beveiligingsadvies. Daarna is dat ook door vrijwel alle organisaties opgepakt. Ook bij JenV was er sprake van dat men achterliep op die beveiligingsupdate. Het advies van het NCSC heeft ertoe geleid dat alle instanties bij JenV uiteindelijk ook die updates hebben doorgevoerd."

Grapperhaus geeft hierbij niet aan op welke termijn de allang uitgebrachte VPN-patch is doorgevoerd. Leverancier Pulse Secure heeft de beveiligingsupdate al in april uitgebracht. Inmiddels is naar buiten gekomen dat er ook voor VPN-klanten van securityleverancier Fortinet een soortgelijk beveiligingsgevaar speelt, doordat een beschikbare beveiligingsupdate voor een bekende kwetsbaarheid lang niet altijd is geïnstalleerd.

Foute uitleg en ingrijpen

De minister geeft in zijn beantwoording van Kamervragen over het cybersecurityprobleem van 'openstaande deuren' bij organisaties in belangrijke, vitale infrastructuren nog een verkeerde uitleg van wat VPN-software is en doet. "Ik leg heel kort uit wat virtual private network software is. Dat is eigenlijk software waarmee je geanonimiseerd verbinding kan maken met wifi." Ondertussen is Grapperhaus wel van plan om overheidsingrijpen op te leggen aan organisaties die hun ICT-beveiliging niet op orde hebben.

Naast het ministerie van Justitie en Veiligheid stond directe toegang van buiten de beveiligde eigen netwerken open bij Shell, Boskalis, defensiebedrijven, krantenbedrijven en de luchtverkeersleiding. Inloggen van buitenaf door onbevoegden was mogelijk doordat de openstaande VPN-kwetsbaarheid niet was gepatcht. De minister, wiens ministerie dus zelf ook achterliep, erkent en herhaalt zijn eigen harde woorden over niet tijdig patchen.

Oliebol en productierisico

"Het blijkt heel moeilijk om dat zodanig voor het voetlicht te brengen dat er een volledige alertheid bestaat op dit punt. En ik heb inderdaad aangegeven dat je, als je als reden opgeeft "we kunnen nu even geen update uitvoeren, want dan staat de productie stil", wat mij betreft een ongelofelijke oliebol bent. Je moet inderdaad aan de slag zo gauw als je die updates krijgt. Zeker als het NCSC je waarschuwt, moet je dat onmiddellijk oppakken." Deze uitspraken hebben stof doen opwaaien in IT- en beheerkringen, mede met het oog op risico van systeemuitval of onveiligheid door patches.