NCTV en NCSC onderzoeken VPN-lekken
Kamerlid Dilan Yeşilgöz-Zegerius van de VVD vroeg begin oktober tijdens het mondelinge vragenuur al om een analyse van de risico's die door de VPN-lekken ontstaan zijn, "onder andere doordat het ministerie van Justitie en Veiligheid hier ook mee te maken had". Minister Ferd Grapperhaus van Justitie en Veiligheid zei toen dat er inderdaad een 'doorwrochte analyse' komt, maar gaf verder weinig details.
Een woordvoerder van het ministerie van Justitie en Veiligheid laat nu weten dat er inderdaad een onderzoek komt. Dat onderzoek wordt door de NCTV en NCSC uitgevoerd, die achteraf de Tweede Kamer informeren over hun resultaten.
Wanneer het onderzoek wordt uitgevoerd, waar precies naar gekeken wordt en hoeveel tijd dat in beslag neemt, is echter onduidelijk. Het ministerie reageerde niet op verdere vragen.
Ministerie was laks
De VPN-lekken bij Fortinet en Pulse Secure kwamen in de lente van dit jaar al aan het licht, maar de patches hiervoor bleken in september op diverse plekken pas veel later of nog helemaal niet geïnstalleerd te zijn. Dat terwijl onder het NCSC meermaals gewaarschuwd heeft voor de problemen.
Begin oktober bleek dat het ministerie van Justitie en Veiligheid zelf ook laks was met het installeren van de patches. "Ook bij JenV was er sprake van dat men achterliep op die beveiligingsupdate. Het advies van het NCSC heeft ertoe geleid dat alle instanties bij JenV uiteindelijk ook die updates hebben doorgevoerd."
Wanneer de patch precies bij het ministerie geïnstalleerd werd, is onduidelijk.
Patchen is niet meer voldoende
De Amerikaanse inlichtingendienst NSA liet niet veel later weten dat het simpelweg updaten van de software niet meer voldoende is, omdat er inmiddels een kant-en-klare exploitcode is verschenen. Daardoor is misbruik veel eenvoudiger geworden.
De NSA raadt organisaties die de patch later hebben geïnstalleerd aan om intern onderzoek te doen, om te zien of er niemand misbruik heeft gemaakt van het lek en het interne netwerk is binnengedrongen.
Of het ministerie van Justitie en Veiligheid dat ook gaat doen, is niet bekend. De woordvoerder wilde hier niet op reageren.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee