Overheid wist wie kwetsbaar was, maar liet bedrijfshacks toch gebeuren
Het Nationaal Cyber Security Center (NCSC) van het ministerie van Justitie en Veiligheid heeft niets gedaan met informatie over kwetsbare bedrijven. Nu blijken veel van deze bedrijven gehackt, als gevolg van een kwetsbare plek in de vpn-software van Pulse Secure.
Een cybercrimineel hackte onlangs verschillende Nederlandse bedrijven en zette wachtwoorden online. Het ministerie van Justitie en Veiligheid was van tevoren expliciet gewaarschuwd dat veel van deze organisaties gevaar liepen, maar deed niets met deze informatie, omdat het niet om 'vitale bedrijven' zou gaan. Slachtoffers zijn onder meer een dochterbedrijf van VDL, datacenterbedrijf ITB2 en groothandel Coen Bakker Deco, blijkt uit de gelekte informatie.
Luister terug | Interne netwerk van tientallen Nederlandse bedrijven en organisaties staat wagenwijd open
Het is niet de taakstelling van het NCSC om alle bedrijven te waarschuwen voor dreiging van hackers, zegt Michiel Steltman, directeur van Stichting Digitale Infrastructuur Nederland. 'Het NCSC heeft een helder mandaat om overheid en vitale bedrijven te helpen, zoals waterleiding- en elektriciteitsbedrijven. Bij de start van de Covid-crisis is er een B-categorie van bedrijven benoemd, zoals datacenters, die in de complexe ketens zitten waar we nu van afhankelijk zijn.'
Capaciteitsprobleem
Een extra knelpunt is de kwetsbare status van IP-adressen in eventuele communicatie, zegt Steltman. 'Juristen van het ministerie zullen zeggen dat het niet mag en niet kan. IP-adressen zijn ooit in een Duits vonnis tot persoonsgegevens bestempeld. De AVG verbiedt het doorgeven daarvan. En bovendien mist de overheid volgens het ministerie de capaciteit om de veiligheid als NCSC te runnen. Die taak is voor een deel ook bij het ministerie van Economische Zaken neergelegd.'
Luister terug | Newsroom | Ruzie tussen de minister en universiteiten
Critici vinden dat de overheid de bedrijven had moeten waarschuwen, de getroffen bedrijven reageren verbaasd. 'Hier was mij niets van bekend', zegt een woordvoerder van Coen Bakker Deco tegen het Financieele Dagblad. ITB2 zegt dat de server niet meer in gebruik is en wil verder niet inhoudelijk reageren. VDL was niet in staat te reageren. Ook verschillende buitenlandse organisaties, zoals het nationale onderzoeksinstituut van Spanje CSIC, porseleinfabrikant Villeroy & Boch en het Luxemburgse laboratoriumbedrijf Eurofins werden getroffen door de hacks.