‘Overheid waarschuwt gehackte bedrijven niet altijd’

Abonneer je gratis op Techzine!

De inloggegevens van maar liefst 900 bedrijven liggen op straat, waaronder ook Nederlandse bedrijven. Volgens het Financieel Dagblad wist Justitie al lang van de kwetsbaarheden af, maar zijn de bedrijven niet altijd ingelicht.

Het ministerie van Justitie en Veiligheid was gewaarschuwd dat verschillende Nederlandse bedrijven hun beveiliging niet op orde hadden. Het heeft daar volgens de krant echter niets mee gedaan, omdat de organisaties ‘niet vitaal’ werden geacht. Hierdoor kon een cybercrimineel recentelijk zijn slag slaan. Onder andere VDL, Coen Bakker Deco en ITB2 zijn slachtoffer geworden van de hack.

Beveiligingslek was bekend

Er zijn ook grote buitenlandse bedrijven gehackt. Denk aan Villeroy & Boch, CSIC en Eurofins. Hoewel veel van de betrokken servers inmiddels offline zijn gehaald, is het goed om te weten wanneer de gegevens zijn buitgemaakt: tussen mei en juli dit jaar. De hacker heeft simpelweg gebruik weten te maken van een beveiligingslek dat er al langer dan een jaar was. Een update was er, maar niet alle bedrijven hebben deze gedownload. Met een hack tot gevolg.

ZDNet schrijft dat het vooral gaat om inloggegevens van medewerkers, inclusief wachtwoorden. De hacker heeft het allemaal online geplaatst. De kwetsbaarheid waarvan misbruik is gemaakt, zit waarschijnlijk in Pulse Secure. Dit is vpn-software waarmee een veilige verbinding tot stand kan worden gebracht met het bedrijfsnetwerk. De kwetsbaarheid zou ervoor zorgen dat mensen van buitenaf toegang krijgen tot een server, zonder hiervoor een wachtwoord te hoeven gebruiken.

Justitie

Tegen het FD heeft Minister Grapperhaus van Veiligheid en Justitie gezegd dat hij de focus heeft op bedrijven die hun security niet in de gaten houden. Hij doelt daarmee onder andere op boetes. Er waren wel ethische hackers die het zwakke punt in de smiezen hadden, maar wanneer zij hun bevindingen naar het Nationaal Cyber Security Center stuurden, dan werd daar weinig mee gedaan.

De reden? NCSC kijkt naar rijksoverheid en bedrijven in vitale sectoren. Opmerkelijk, want ook een bedrijf buiten die sectoren kan na een hack informatie prijsgeven die kan worden doorgelinkt aan organisaties die de NCSC wel in zijn portfolio zegt te hebben.

Afgezien daarvan is het gevaar in ieder geval nog niet geweken. Van de gehackte bedrijven weet nog steeds niet elk bedrijf dat het inderdaad gevaar heeft gelopen of dat er zelfs informatie is weggenomen. De NCSC zal ze niet informeren en aangezien het ministerie van Grapperhaus zelf ook wat laat was met de update binnenhalen om het lek tegen te gaan, is het de vraag of dit snel in actie zal komen.