Het NCSC (Nationaal Cyber Security Centrum) stelt dat het aantal geïdentificeerde kwetsbare Pulse Secure- en Fortigate-systemen binnen Nederland de afgelopen maand is afgenomen. Toch lopen nog veel organisaties een ernstig risico door misbruik van deze kwetsbaarheden, aldus de instantie.
Eind september, begin oktober kwam naar buiten dat VPN-platforms van Pulse Secure en Fortinet kwetsbaar waren voor hacks. De bedrijfskritieke systemen van belangrijke instanties, zoals de luchtverkeersleiding op Schiphol, zouden daarmee in theorie open liggen voor cyberaanvallen.
VPN's mogelijk gecompromitteerd
Het NCSC adviseert organisaties nu nogmaals om VPN-software van de laatste beveiligingsupdates te voorzien. Omdat de kwetsbaarheden in de VPN's inmiddels algemeen bekend zijn, is er volgens het NSCS inmiddels een groot risico dat niet geupdate VPN-software al is gecompromitteerd.
Het volledig opnieuw aanmaken van VPN-accounts met bij voorkeur nieuwe wachtwoorden en gebruikersnamen is daarom noodzakelijk, tenzij met zekerheid uit te sluiten is dat de VPN-software is gecompromitteerd. Bij een mogelijke hack is de integriteit van de VPN-oplossing immers niet meer gegarandeerd. Ook adviseert het NCSC om tweefactor-authenticatie toe te passen.
Gebrekkige cybersecurity harder aanpakken
Minister Grapperhaus (Justitie) stelde onlangs dat de overheid harder wil optreden tegen organisaties die te weinig werk maken van hun digitale beveiliging. Momenteel kan de overheid via instanties zoals het NCSC weinig meer doen dan wijzen op alle cybersecurity-gevaren.
Wanneer vitale infrastructuren zoals communicatienetwerken gehackt worden, kan dat in potentie tot ontwrichting van de samenleving leiden. Grapperhaus vindt dat de overheid het recht moet hebben om boetes uit te delen aan organisaties die klanten of burgers risico laten lopen doordat zij hun cybersecurity onvoldoende op orde hebben. Desnoods moeten overheidsinstanties bij dergelijke organisaties (preventief) kunnen ingrijpen.
