Meerdere Nederlandse bedrijven zijn niet geïnformeerd over een kwetsbaarheid en daardoor gehackt. Het Nationaal Cyber Security Center was op de hoogte, maar ondernam geen actie omdat het niet om vitale bedrijven ging.
Begin deze maand publiceerde een hacker de inloggegevens van Pulse Secure-accounts van meer dan 900 bedrijven, meldde ZDNet. Dat is zakelijke vpn-software, waar vorig jaar een lek in werd ontdekt. Er is al lange tijd een patch beschikbaar, maar de desbetreffende bedrijven hebben die update niet geïnstalleerd.
Bij die publicatie zaten ook vpn-inloggegevens van verschillende Nederlandse bedrijven, schrijft het Financieel Dagblad. Volgens de krant gaat het onder meer om een dochterbedrijf van industrieconcern VDL, datacenterbedrijf ITB2 en groothandel Coen Bakker Deco die gespecialiseerd is in kerstversieringen.
Nadat de kwetsbaarheid in Pulse Secure vorig jaar bekend werd gemaakt, vonden beveiligingsonderzoekers, onder wie Matthijs Koot, honderden kwetsbare bedrijven in Nederland. Koot stuurde zijn bevindingen naar het NCSC, omdat individueel benaderen van de bedrijven niet haalbaar was.
Het NCSC gooide de informatie grotendeels weg, omdat het overheidsorgaan alleen kijkt naar bedrijven in vitale sectoren, zoals banken en telecombedrijven. Koot zegt tegen het FD dat er daardoor nu allerlei wachtwoorden op straat liggen, terwijl dat voorkomen had kunnen worden.
Een woordvoerder van het NCSC zegt tegen de krant dat het er 'binnen de juridische mogelijkheden' alles aan heeft gedaan om organisaties te informeren. Organisaties 'buiten het wettelijk mandaat' kunnen niet geïnformeerd worden, aldus de instantie. Koot is daar boos over en hekelt de passieve houding van het NCSC. Hij stelt dat bijvoorbeeld ransomware-aanvallen op niet-vitale bedrijven alsnog voor besmettingen zouden kunnen zorgen bij vitale bedrijven.
Koot is aangesloten bij het Dutch Institute for Vulnerability Disclosure. Dat initiatief is eind vorig jaar opgericht met het doel om bedrijven op de hoogte te brengen van kritieke kwetsbaarheden, maar heeft niet de middelen om iedereen te bellen. Ook komen meldingen van buitenlandse onderzoekers vaak alleen bij het NCSC terecht, stelt de onderzoeker.
Het NCSC waarschuwde eind vorig jaar wel dat veel Nederlandse bedrijven nog kwetsbaar waren omdat ze gebruikmaakten van verouderde vpn-software. Dat ging echter om een algemene waarschuwing, de getroffen bedrijven zijn niet individueel op de hoogte gebracht. De door FD genoemde getroffen bedrijven zijn inmiddels ingelicht en hebben hun systemen geüpdatet.