Management

Security
Hello

Overheid negeert waarschuwingen over hacks bij niet-vitale bedrijven

Ministerie van JenV deed niets met informatie over potentiële gevaren.

© CC0 - Unsplash Karolina Szczur
17 augustus 2020

Ministerie van JenV deed niets met informatie over potentiële gevaren.

UPDATE: commentaar Frank Breedijk toegevoegd in laatste alinea.

Het ministerie van Justitie en Veiligheid heeft al maanden geleden waarschuwingen gekregen dat een groot aantal organisaties in Nederland gevaar liep, maar ondernam geen actie. Nu zijn gevoelige gegevens van een aantal van die bedrijven online gezet net als van vele honderden organisaties in het buitenland. Het ministerie zegt 'geen mandaat' te hebben om alle organisaties die gevaar lopen, te waarschuwen.

Dat had wel moeten gebeuren, vinden onder meer Matthijs Koot die de kwetsbaarheden bij honderden Nederlandse bedrijven had geconstateerd en Michiel Steltman, directeur van brancheorganisatie Stichting Digitale Infrastructuur Nederland, in het FD vanochtend.

Koot had na zijn ontdekking het ministerie ingelicht omdat het voor hem onmogelijk was alle bedrijven individueel te benaderen. Hij ging er vanuit dat het Nationaal Cyber Security Center (NCSC) die mogelijkheden wel had. Maar dat deed niets met de informatie. Volgens het ministerie kijkt het NCSC alleen naar kwetsbaarheden bij de Rijksoverheid en voor de Nederlandse economie 'vitale' organisaties zoals banken en telecombedrijven. Bescherming bieden aan 'niet-vitale' organisaties valt buiten het mandaat van NCSC.

Gegevens 900 bedrijven online

Het gevolg is nu dat verschillende Nederlandse bedrijven slachtoffer zijn geworden van een hack via een kwetsbaarheid in de VPN-software van Pulse Secure, waarmee werknemers op afstand toegang kunnen krijgen tot bedrijfsinformatie. Het gaat volgens het FD onder meer om industriële concern VDL, datacenterbedrijf ITB2 en de in kerstversieringen gespecialiseerde groothandel Coen Bakker Deco. Een softwarefout stelde de aanvaller in de gelegenheid volledige toegang tot de server te krijgen. Daarbij werden onder meer inloggegevens buitgemaakt. Vermoedelijk vonden de hacks plaats in de periode tussen mei en juli. De gegevens van in totaal 900 organisaties zijn begin augustus door een Russisch-sprekende hacker geplaatst op een forum waar ransomware-bendes gegevens uitwisselen, ontdekte ZDNet.

Volgens het FD had een week geleden nog zeker de helft van alle bedrijven van wie de gegevens online waren gezet de patch nog altijd niet aangebracht. Het betreffende lek is al een jaar geleden ontdekt en gerepareerd. Koot en Steltman vinden het een taak van NCSC wanneer informatie over kwetsbaarheden beschikbaar is, bedrijven actief te benaderen.

Overigens was zowel de informatie over de kwetsbaarheid en de mogelijkheden van NCSC al lang bekend. Dat leidde er begin dit jaar te dat Koot samen met Frank Breedijk, CISO bij Schuberg Philis het Nederlands Security Meldpunt oprichtte - onderdeel van het Dutch Institute for Vulnerability Disclosure. Die organisatie wil bedrijven wel op een laagdrempeliger manier waarschuwen, maar vindt het primair een taak van de overheid. Breedijk: "Onze belangrijkste grieven zijn dat het ministerie van Justitie en Veiligheid, waar het NCSC onder valt, wist van de beveiligingsproblemen maar met een deel niets heeft gedaan. En dat het NCSC niet duidelijk is wat het met meldingen doet. Als je een beveiligingsprobleem in Nederland wil melden, lijkt het toch logisch dat je aanklopt bij een overheidsorgaan wat zich Nationaal Cybersecurity Center noemt."

 

Lees meer over
Lees meer over Management OP AG Intelligence
4
Reacties
Ad Nederlof 18 augustus 2020 15:38

Uiteraard moet je alles doen om je bedrijf te beveiliggen. Maar wanneer de overheid over informatie beschikt en die niet deelt met de bedrijven die op de lijst staan, dan vind ik dat nalatig. Ook als je goed beveiligd bent wil je weten of je al dan niet veilig bent. Dus als een top politicus goed beveiligd wordt hoeft hij niet gewaarschuwd te worden wanneer de “overheid” ontdekt dat er een aanslag op hem beraamd wordt. Zo iets als bij Pim Fortuijn destijds, voerde men toen ook zo’n beleid?

RBx 17 augustus 2020 20:41

Bedrijven die graag veilig willen zijn moeten daar gewoon een partij zoals FoxIT voor inhuren daar zijn commerciële instellingen voor. De meeste bedrijven willen gewoon alleen maar geld uitgeven aan nieuwe software en het liefst nog gemaakt door mensen die 5 euro per uur vragen ook. mooie knopjes en kleuren zijn in het bedrijfsleven belangrijk de rest zal ze een worst zijn zolang er maar winst gemaakt wordt.

P.J. Westerhof LL.M MIM 17 augustus 2020 14:45

Wat een absoluut belachelijk verhaal in FD.
Bedrijven hebben bewust hun eigen beveiliging niet op orde en nu wordt de verantwoordelijkheid (wederom) afgeschoven naar de overheid? Vergelijkbaars vindt overigens plaats m.b.t. AVG-verplichtingen.

Het is niet de taak van de overheid om - op kosten van de belastingbetaler - onwillige kleuters bij de hand te nemen.
Dit lek was al meer dan één jaar bekend, dus geen wonder dat er scriptkiddies zijn die eens gaan rondsnuffelen.
En een stukje ransomware is dan ook al gauw geïmplementeerd.
Volstrekt ondermaats systeembeheer.

Het lijkt er meer op dat Koot en Steltman op zoek zijn naar aandacht.
De overheid zou er beter aan doen het principe 'wie niet horen wil moet maar voelen' te hanteren.
Het wordt hoog tijd dat verantwoordelijken op directieniveau bij zowel overheid als bedrijfsleven hun nalatigheden eindelijk eens in eigen portemonnee gaan voelen.

Johan van der Ven 17 augustus 2020 13:44

Tja, is het NCSC nu de 'Hoeder des Vaderlands' of alleen maar voor de 'De Hoeder van Vitale onderdelen des Nederlandse Rijksoverheid'? Het maakt nogal wat verschil voor een organisatie (budget, mankracht) of je het 1 of het ander bent. Zou goed zijn om daar een duidelijke uitspraak over te krijgen.
Je kunt ook stellen dat die 900 bedrijven zelf ook wat meer hadden kunnen doen, individueel of collectief, het (security) nieuws volgen of binnen hun branche aansluiten bij een security community. Wellicht een NCSC voor het MKB oprichten, of is die er al?
Feit is: Er is altijd ook de eigen verantwoordelijkheid welke bedrijven dienen te nemen. Of die het nou leuk vinden of niet, security maakt onderdeel uit van je IT tegenwoordig. Ddaar hebben de hackers wel voor gezorgd.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.