Volledig scherm
De verkeerstoren op Schiphol. © ANP

‘Luchtverkeersleiding en ministerie maandenlang onbeveiligd door groot beveiligingslek’

Het interne netwerk van honderden bedrijven in Nederland, ook dat van het ministerie van Justitie en Veiligheid en Luchtverkeersleiding Nederland, lag maandenlang wagenwijd open voor kwaadwillenden door een ernstige kwetsbaarheid in de VPN-verbinding van Pulse Secure. Ondanks diverse waarschuwingen voerden bedrijven lange tijd geen update door. Dat meldt de Volkskrant.

Het lek bij Pulse Secure werd vorig jaar in in april gedicht maar honderden Nederlandse bedrijven hadden tot eind augustus de update niet uitgevoerd. Nog steeds staan 140 systemen open van tientallen bedrijven. De Volkskrant noemt deze bedrijven niet bij naam uit veiligheidsoverwegingen, maar volgens de krant zitten daar enkele grote bedrijven tussen.

Het NCSC, verantwoordelijk voor de digitale bescherming van vitale infrastructuur, zegt ‘actief’ gewaarschuwd te hebben maar greep niet in toen organisaties gevaar liepen. De organisatie kan niet afdwingen dat bedrijven maatregelen nemen.

Na onderzoek van een beveiligingsexpert werden eind augustus systemen die aan de nationale veiligheid raken offline gehaald. De Luchtverkeersleiding Nederland gaat niet in op vragen waarom het niet gelukt is om de update van Pulse Secure uit te voeren. Een woordvoerder zegt dat de kwetsbaarheid ‘bij ons geruime tijd bekend’ is. ‘De bijbehorende risico’s zijn in kaart gebracht en er zijn passende maatregelen genomen.’ Waaruit die maatregelen bestaan, wil de woordvoerder niet toelichten.