Beheer

Security
Security

NCTV en NCSC onderzoeken VPN-lekken

Onduidelijk wanneer onderzoek afgerond is. 

© Pixabay - CCO Stevebp
22 oktober 2019

Onduidelijk wanneer onderzoek afgerond is. 

De VPN-diensten van Pulse Secure van Fortinet bleken deze lente lekken te bevatten. Er verschenen al snel patches, maar die werden lang niet overal geïnstalleerd. Ook het ministerie van Justitie was laat met het installeren van de patches. Nu gaan het Nationaal Cyber Security Centrum (NCSC) en de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) onderzoek doen naar de lekken.

Kamerlid Dilan Yeşilgöz-Zegerius van de VVD vroeg begin oktober tijdens het mondelinge vragenuur al om een analyse van de risico's die door de VPN-lekken ontstaan zijn, "onder andere doordat het ministerie van Justitie en Veiligheid hier ook mee te maken had". Minister Ferd Grapperhaus van Justitie en Veiligheid zei toen dat er inderdaad een 'doorwrochte analyse' komt, maar gaf verder weinig details. 

Een woordvoerder van het ministerie van Justitie en Veiligheid laat nu weten dat er inderdaad een onderzoek komt. Dat onderzoek wordt door de NCTV en NCSC uitgevoerd, die achteraf de Tweede Kamer informeren over hun resultaten.

Wanneer het onderzoek wordt uitgevoerd, waar precies naar gekeken wordt en hoeveel tijd dat in beslag neemt, is echter onduidelijk. Het ministerie reageerde niet op verdere vragen. 

Ministerie was laks

De VPN-lekken bij Fortinet en Pulse Secure kwamen in de lente van dit jaar al aan het licht, maar de patches hiervoor bleken in september op diverse plekken pas veel later of nog helemaal niet geïnstalleerd te zijn. Dat terwijl onder het NCSC meermaals gewaarschuwd heeft voor de problemen. 

Begin oktober bleek dat het ministerie van Justitie en Veiligheid zelf ook laks was met het installeren van de patches. "Ook bij JenV was er sprake van dat men achterliep op die beveiligingsupdate. Het advies van het NCSC heeft ertoe geleid dat alle instanties bij JenV uiteindelijk ook die updates hebben doorgevoerd."

Wanneer de patch precies bij het ministerie geïnstalleerd werd, is onduidelijk. 

Patchen is niet meer voldoende

De Amerikaanse inlichtingendienst NSA liet niet veel later weten dat het simpelweg updaten van de software niet meer voldoende is, omdat er inmiddels een kant-en-klare exploitcode is verschenen. Daardoor is misbruik veel eenvoudiger geworden.

De NSA raadt organisaties die de patch later hebben geïnstalleerd aan om intern onderzoek te doen, om te zien of er niemand misbruik heeft gemaakt van het lek en het interne netwerk is binnengedrongen. 

Of het ministerie van Justitie en Veiligheid dat ook gaat doen, is niet bekend. De woordvoerder wilde hier niet op reageren. 

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.