Honderden bedrijven kwetsbaar door groot lek in VPN-dienst
Onder andere de luchtverkeersleiding op Schiphol en het ministerie van Justitie & Veiligheid zijn maandenlang onbeveiligd geweest vanwege een groot lek in de gebruikte ICT-beveiliging van Pulse Secure. Het beveiligingsbedrijf ontwikkelde direct een oplossing, maar de organisaties lieten na de software te updaten.
Pulse Secure had gebruikers van het VPN-netwerk diverse malen gewezen op het lek in de beveiliging en de noodzaak om een update te installeren, maar die waarschuwing werd door veel organisaties in de wind geslagen. Daardoor lagen gevoelige ICT-systemen maandenlang wagenwijd open voor kwaadwillenden. Volgens De Volkskrant werd het lek al in april vorig jaar ontdekt en brancht Pulse Secure daarop direct een update uit. In augustus van dit jaar bleek echter dat 140 Nederlandse klanten die update nog steeds niet hadden geïnstalleerd. Ook niet nadat zij door het Nationaal Cyber Security Center waren gewaarschuwd. Het NCSC is een overheidsorganisatie die ICT-systemen voor de vitale infrastructuur helpt te beschermen, maar die geen bestuurlijke dwang kan uitoefenen om bijvoorbeeld noodzakelijke updates te installeren. Inmiddels zijn de systemen die te maken hebben met de nationale veiligheid in Nederland wel aangepast, maar de betreffende organisaties laten zich er niet over uit op welke wijze dat is gebeurd en waarom niet gewoon direct de update is geïnstalleerd.