Twee onderdelen van het ministerie van Justitie en Veiligheid waren maandenlang kwetsbaar door het beveiligingslek in Pulse Secure vpn-software waarvoor beschikbare beveiligingsupdates niet waren geïnstalleerd. Voor zover bekend heeft de kwetsbaarheid niet voor schade bij de Rijksoverheid en aanbieders in de vitale infrastructuur gezorgd. Dat laat minister Grapperhaus van Justitie in een brief aan de Tweede Kamer weten.
Via een ernstige kwetsbaarheid in de software kan een aanvaller kwetsbare vpn-servers en -clients overnemen of toegang tot versleutelde vpn-sessies krijgen. Voor het beveiligingslek verscheen op 24 april 2019 een beveiligingsupdate. Op 20 augustus verscheen er een exploit online die misbruik van de kwetsbaarheid maakt en sinds 22 augustus vinden ook daadwerkelijk aanvallen plaats.
"Ook bij onderdelen die onder het ministerie van Justitie en Veiligheid vallen, is sprake geweest van de kwetsbaarheid in de vpn-software", aldus minister Grapperhaus. Na de eerste waarschuwing van het Nationaal Cyber Security Centrum (NCSC) op 1 mei 2019 zijn binnen het ministerie voor bijna alle onderdelen updates doorgevoerd. Nadat het NCSC op 21 augustus 2019 het beveiligingsadvies had aangepast vanwege het verschijnen van de exploit bleek dat twee onderdelen van het ministerie de updates vier maanden later nog altijd niet hadden doorgevoerd.
"Deze onderdelen hebben binnen enkele dagen na dit high/high beveiligingsadvies de kwetsbaarheid met spoed verholpen middels een update. Dit is binnen de richtlijn van een week die de Baseline Informatiebeveiliging Overheid (BIO) stelt voor dit soort beveiligingsadviezen. Naar aanleiding van deze casus is met deze onderdelen gesproken en wordt nu geëvalueerd hoe in de toekomst dergelijke kwetsbaarheden sneller verholpen kunnen worden", voegt Grapperhaus toe.
De minister noemde bedrijven die beveiligingsupdates uitstellen vorig jaar nog "ongelofelijke oliebollen". Grapperhaus deed zijn uitspraken naar aanleiding van berichtgeving dat bedrijven en overheidsinstanties belangrijke updates voor de Pulse Secure vpn-software niet hadden geïnstalleerd. Volgens de minister wordt het onderwerp cybersecurity onderschat en de gevolgen die dit kan hebben, zoals digitale ontwrichting.
"Het blijkt heel moeilijk om dat zodanig voor het voetlicht te brengen dat er een volledige alertheid bestaat op dit punt. En ik heb inderdaad aangegeven dat je, als je als reden opgeeft "we kunnen nu even geen update uitvoeren, want dan staat de productie stil", wat mij betreft een ongelofelijke oliebol bent. Je moet inderdaad aan de slag zo gauw als je die updates krijgt. Zeker als het NCSC je waarschuwt, moet je dat onmiddellijk oppakken", aldus Grapperhaus afgelopen oktober tijdens het mondelinge vragenuur in de Tweede Kamer.
Deze posting is gelocked. Reageren is niet meer mogelijk.