'Overheid wist van hackgevaar bedrijven, maar waarschuwde niet'
Een hacker heeft inloggegevens van zeker 900 bedrijven online gezet, waaronder van Nederlandse organisaties. Het ministerie van Justitie en Veiligheid wist van tevoren welke bedrijven risico liepen, maar deed niets met die informatie.
Beveiligingsonderzoeker Matthijs Koot vond honderden kwetsbare servers bij Nederlandse bedrijven en seinde het Nationaal Cyber Security Center (NCSC) daarover in, meldt het FD. Het NCSC deed niets met het grootste deel van de informatie, omdat het alleen kijkt naar de Rijksoverheid zelf en naar ‘vitale’ bedrijven als banken en telecombedrijven.
Volgens een woordvoerder van het ministerie heeft het NCSC er alles aan gedaan om organisaties binnen de "juridische mogelijkheden" te informeren. "Maar organisaties buiten het wettelijke mandaat kunnen helaas niet door het NSCS geïnformeerd worden." Koot noemt dat een "passieve en formalistische reactie".
Lek in VPN-dienst
De gegevens zijn waarschijnlijk gestolen via een beveiligingslek in VPN-software Pulse Secure, waarmee medewerkers vanuit huis beveiligd kunnen inloggen op hun bedrijfsnetwerk. Dat lek is al ruim een jaar geleden met een update gedicht, maar die is door veel bedrijven niet direct geïnstalleerd.
Hacks
Onder andere een dochterbedrijf van VDL, datacenterbedrijf ITB2 en porseleinfabrikant Villeroy & Boch zijn slachtoffer geworden van de hack, schrijft het FD. Onderzoeker Koot is hier boos over, omdat het voorkomen had kunnen worden.
Zelfs nu de bedrijven zijn gehackt, worden ze niet door het NCSC op de hoogte gebracht. "Niet-vitale bedrijven leveren geregeld diensten aan de vitale sector en kunnen zo alsnog vitale bedrijven besmetten."