Het Nationaal Cyber Security Center (NCSC), onderdeel van het ministerie van Justitie & Veiligheid, krijgt regelmatig informatie binnen over bedrijven die kwetsbaar zijn voor hackers. Lang niet altijd worden die bedrijven vervolgens geïnformeerd, wat ernstige consequenties kan hebben, zo schrijft het FD.

Onlangs zette een Russische hacker de wachtwoorden van zo’n 900 verschillende bedrijven en instellingen online. Hij had de informatie verkregen via een bekend lek in de software van VPN-dienst Pulse Secure. Daarvoor was een jaar geleden al een update uitgebracht, maar die hebben veel organisaties nog niet geïnstalleerd. Ditmaal zijn wachtwoorden ontfutseld en openbaar gemaakt, maar de hacker had met hetzelfde gemak ransomware kunnen installeren om de organisaties geld af te persen. Het NSCS was op de hoogte, maar waarschuwde destijds alleen bedrijven die door de overheid van vitaal belang worden geacht.

Helft nog steeds kwetsbaar
De getroffen bedrijven zijn onder andere autobusfabrikant VDL, datacenterbedrijf ITB2 en een groothandel in kerstversieringen. Daarnaast zijn van veel buitenlandse bedrijven de wachtwoorden online gezet. De Nederlandse bedrijven hebben intussen maatregelen getroffen, maar dat is niet aan de overheid te danken. Volgens het FD is ongeveer de helft van de getroffen organisaties nog steeds kwetsbaar. In eerste instantie werden ook KLM en Shell door het lek getroffen. Minister Grapperhaus dreigde toen met sancties tegen bedrijven die hun internetbeveiliging niet op orde hebben, maar kwam er al snel achter dat ook zijn eigen ministerie met het probleem kampte.

Juridische beperkingen
Volgens informatiebeveiliger Matthijs Koot van het Eindhovense bedrijf Secura zijn nog honderden Nederlandse bedrijven kwestbaar. Teveel om individueel te benaderen, zo zegt hij. Daarom stuurde hij zijn bevindingen naar het NSCS. Dat wilde echter alleen bedrijven in vitale sectoren en instellingen van de Rijksoverheid waarschuwen. Volgens een woordvoerder heeft dat te maken met juridische beperkingen. Die gelden zelfs als het NSCS weet dat bedrijven al gehackt zijn, maar dat zelf nog niet hebben gemerkt. Koot wijst erop dat hierdoor ook vitale sectoren in gevaar komen, als die een getroffen bedrijf als toeleverancier hebben. Ook Michiel Steltman, directeur van brancheorganisatie Stichting Digitale Infrastructuur Nederland, wijst erop dat de nationale veiligheid niet wordt gediend met het te krappe ‘NCSC-mandaat’.