Beheer
Justitie was zelf ook laks met VPN-patch
Ministerie van Justitie en Veiligheid liep zelf ook achter met patchen van openstaand VPN-gat.
Ministerie van Justitie en Veiligheid liep zelf ook achter met patchen van openstaand VPN-gat.
De eerste waarschuwing van het Nederlandse cybersecurity-overheidsorgaan NCSC voor het gevaar van een gevaarlijke VPN-kwetsbaarheid is bij vele organisaties in dovemansoren gevallen. Ook bij het ministerie van Justitie en Veiligheid, waar het NCSC onder valt. Maanden later is bij de tweede waarschuwing, met melding van verhoogd risico, wel actie ondernomen. Dit biecht minister Ferd Grapperhaus nu op.
"Het is juist dat, zoals de Volkskrant meldt, het interne netwerk van honderden organisaties in Nederland een aantal maanden een kwetsbaarheid had. Die kwetsbaarheid kwam voort uit het niet tijdig uitvoeren van beveiligingsupdates voor de zogenoemde virtual private network software van het bedrijf Pulse Secure", antwoordt de minister van Justitie en Veiligheid in antwoord op mondelinge Kamervragen.
Eerste waarschuwing
"Het NCSC, het Nationaal Cyber Security Centrum, dat onder mijn verantwoordelijkheid valt, heeft op 15 april een advies uitgebracht waarin het heeft gewezen op die kwetsbaarheid." Dit was de eerste waarschuwing waarin het NCSC aangaf dat de mogelijk aan te richten schade groot is maar dat de kans op misbruik van deze VPN-kwetsbaarheid klein is. Vervolgens heeft de instantie "de doelgroepen rijksoverheid en vitale-infrastructuurbedrijven actief daarover geïnformeerd".
Grapperhaus zegt dat organisaties op basis van die informering door het NCSC updates hebben kunnen uitvoeren. Alleen blijkt dat in de praktijk lang niet overal gedaan, zo wist de Volkskrant afgelopen weekend te onthullen. Dat geldt dus ook voor Justitie en Veiligheid zelf, vertelt de minister in het mondelinge vragenuur van gistermiddag. Daar is pas verandering in gekomen toen er kant-en-klare exploitcode openlijk beschikbaar is gekomen en het NCSC een tweede, dringendere waarschuwing heeft afgegeven.
Tweede waarschuwing
"Op 21 augustus is dat eerste advies door het NCSC omgezet in het hoogste beveiligingsadvies. Daarna is dat ook door vrijwel alle organisaties opgepakt. Ook bij JenV was er sprake van dat men achterliep op die beveiligingsupdate. Het advies van het NCSC heeft ertoe geleid dat alle instanties bij JenV uiteindelijk ook die updates hebben doorgevoerd."
Grapperhaus geeft hierbij niet aan op welke termijn de allang uitgebrachte VPN-patch is doorgevoerd. Leverancier Pulse Secure heeft de beveiligingsupdate al in april uitgebracht. Inmiddels is naar buiten gekomen dat er ook voor VPN-klanten van securityleverancier Fortinet een soortgelijk beveiligingsgevaar speelt, doordat een beschikbare beveiligingsupdate voor een bekende kwetsbaarheid lang niet altijd is geïnstalleerd.
Foute uitleg en ingrijpen
De minister geeft in zijn beantwoording van Kamervragen over het cybersecurityprobleem van 'openstaande deuren' bij organisaties in belangrijke, vitale infrastructuren nog een verkeerde uitleg van wat VPN-software is en doet. "Ik leg heel kort uit wat virtual private network software is. Dat is eigenlijk software waarmee je geanonimiseerd verbinding kan maken met wifi." Ondertussen is Grapperhaus wel van plan om overheidsingrijpen op te leggen aan organisaties die hun ICT-beveiliging niet op orde hebben.
Naast het ministerie van Justitie en Veiligheid stond directe toegang van buiten de beveiligde eigen netwerken open bij Shell, Boskalis, defensiebedrijven, krantenbedrijven en de luchtverkeersleiding. Inloggen van buitenaf door onbevoegden was mogelijk doordat de openstaande VPN-kwetsbaarheid niet was gepatcht. De minister, wiens ministerie dus zelf ook achterliep, erkent en herhaalt zijn eigen harde woorden over niet tijdig patchen.
Oliebol en productierisico
"Het blijkt heel moeilijk om dat zodanig voor het voetlicht te brengen dat er een volledige alertheid bestaat op dit punt. En ik heb inderdaad aangegeven dat je, als je als reden opgeeft "we kunnen nu even geen update uitvoeren, want dan staat de productie stil", wat mij betreft een ongelofelijke oliebol bent. Je moet inderdaad aan de slag zo gauw als je die updates krijgt. Zeker als het NCSC je waarschuwt, moet je dat onmiddellijk oppakken." Deze uitspraken hebben stof doen opwaaien in IT- en beheerkringen, mede met het oog op risico van systeemuitval of onveiligheid door patches.
Techjournalist, ICT-kenner en contentproducent bij AG Connect.
ADDENDUM : naar blijkt heeft minister Grapperhaus tijdens de 'One Conference' die 1-3 oktober in Den Haag werd gehouden het 'Cybersecurity Woordenboek' ontvangen uit handen van Petra Oldengarm, directeur van Cyberveilig Nederland.
[ https://www.ncsc.nl/actueel/nieuws/2019/oktober/1/cybersecurity-woorden… ]
Er staat ook een definitie van VPN in.
In ons bedrijf is de kritische netwerk infrastructuur dubbel uitgevoerd, dit om de continuïteit zo veel als mogelijk te waarborgen. Aardig bijverschijnsel is dat je eigenlijk ALTIJD zonder Service onderbreking updates en patches kunt uitvoeren. Deze zijn uiteraard eerst getest in een acceptatie-omgeving, als je jezelf serieus neemt als IT binnen een bedrijf, dan regel je het zo! Kost wat, maar dan heb je ook wat! Ik zeg altijd tegen de business: " Als het je dat allemaal niet waard is, want het kost te veel, dan is de consequentie dat je business onderbrekingen heeft". NIET patchen of updaten is bij ons niet ter discussie...
Grapperhaus : "Ik leg heel kort uit wat virtual private network software is. Dat is eigenlijk software waarmee je geanonimiseerd verbinding kan maken met wifi."
ROFL!! Ja, en alle computers draaien op Microsoft Windows, mét Twitter natuurlijk.
Nu begrijpen we meteen ook waarom het bij V&J - en al die andere grote organisaties - zo fout ging, en gaat.
Dáááág meneer Grapperhaus! "wat mij betreft een ongelofelijke oliebol"
@Atilla, je auto breng je ook zo nu en dan naar de garage voor een beurt (meestal omdat de auto dat netjes zelf zegt). De airco in je bedrijfspand krijgt ook regelmatig onderhoud, de ramen worden regelmatig gewassen en noem maar op. Als je voor je IT, dat voor veel bedrijven de aorta van het bedrijf is, geen regulier onderhoud inplant, ben je dus gewoon een oliebol. Dat heeft niks te maken met worstelen, even uit de lucht of hoe dan ook. Dat heeft gewoon te maken met laksigheid, verkeerd stellen van prioriteiten. Een CIO die dit toelaat zou een flinke schop onder de kont moeten krijgen.
De enige manier om security en privacy issues te voorkomen is maatregelen te nemen om ze in het ontwerp van je gehele omgeving mee te nemen. Daar worstelen organisaties mee (zowel overheden als bedrijfsleven), want de ICT wereld is nooit gestart met een security en privacy by design attitude. Het installeren van updates en patches vereisen vaak dat de ICT even "uit de lucht" moet. Gezien het grote aantal updates en patches voor je gehele ICT hakt dat er wel in. Niet doen is eigenlijk geen keuze en security en privacy by design binnen je gehele ICT implementeren kost jaren en velen kijken er als een berg tegenop. Er is nog voldoende werk, zou je kunnen zeggen.