Thuiswerken, we vinden het allemaal steeds handiger, zeker als we ook nog kunnen inloggen op het bedrijfsnetwerk. Maar hoe veilig is dat nu eigenlijk?
De kwetsbaarheid van VPN-verbindingen waarover de Volkskrant zaterdag berichtte, is nog niet voorbij. In de berichtgeving ging het om een lek in de Pulse Secure-VPN dat enkele weken geleden speelde. Het IT-beveiligingsbedrijf ESET Nederland en Reporter Radio hebben ontdekt dat een vergelijkbaar lek in de Fortigate-VPN nog altijd niet gedicht is, bij bijna 900 bedrijven en instellingen in Nederland. Met de VPN kunnen werknemers vanuit huis veilig inloggen op het werk.
Groot risico en hoge schade
Volgens het Nationaal Cyber Security Centrum (NCSC) is het risico dat er misbruik wordt gemaakt van deze kwetsbaarheid 'hoog' en zal de schade 'groot' zijn als het daadwerkelijk gebeurt (high-high). Bovendien gaat het voor een deel om organisaties die behoren tot de 'doelgroep' van het NCSC, zegt het centrum nadat het de lijst van Reporter Radio heeft bekeken. De doelgroep die door het NCSC wordt gewaarschuwd (na de melding van Reporter Radio bij het NCSC) is de Rijksoverheid en organisaties in de zogenoemde vitale infrastructuur van Nederland.
De lijst met bedrijven, die in bezit is van de redactie, is gecontroleerd door een ander beveiligingsbedrijf. Het programma maakt de namen van de betreffende bedrijven en instellingen niet bekend, omdat dit de veiligheid van de systemen in gevaar brengt. Maar het gaat om opvallend veel ICT-bedrijven, zorginstellingen waaronder een groot ziekenhuis, onderwijsinstellingen en een beursgenoteerde onderneming, zo blijkt uit het onderzoek.
De consequenties van het lek zijn enorm, stelt CEO Dave Maasland van ESET Nederland.
Hackers krijgen niet alleen toegang tot essentiële bedrijfssystemen, zij kunnen er ook misbruik van maken om toegang te krijgen tot systemen van de overheid of grotere bedrijven
De lijst kwetsbare bedrijven bevat ook toeleveranciers van de overheid en grote ondernemingen, die hiermee dus ook een risico lopen.
Volgens Maasland zijn overigens MKB bedrijven (die veel voorkomen in de lijst) extra kwetsbaar, "omdat uit de praktijk blijkt dat deze bedrijven hun ICT-beveiliging helemaal niet goed op orde hebben".
Update
Opvallend is dat er al in mei een update is gedaan bij de Fortigate-VPN om het lek te dichten, maar dat die door de betreffende Nederlandse bedrijven en instellingen nog niet zijn geïnstalleerd. De afgelopen weken wordt de kwetsbaarheid bij de Fortigate-VPN wereldwijd op grote schaal misbruikt, zo valt op te maken uit gemonitorde activiteit op internet. Of dit ook in Nederland het geval is, is niet te zeggen.
Lek thuiswerk-inlog duurt voort bij andere aanbieder