Jaar lang bekend gat gaf geheime afmeldcodes voor alarmcentrales, maar had 'beperkte impact', aldus Justitie
Alarmcentrales van SMC en Securitas zijn geraakt door een kwetsbaarheid in de installateurs-app van een derde partij. Daarlangs waren afmeldcodes in te zien, waarmee een afgegane melding valt te 'sussen': af te serveren als een vals alarm, waardoor er geen melding aan de politie wordt gedaan. Demissionair Justitie-minister Yeşilgöz-Zegerius beantwoordt nu Kamervragen over dit securityprobleem.
Rijksoverheid (foto: Martijn Beekman)
Naast ondernemingen als supermarkten, banken en cybersecuritybedrijf Fox-IT zijn door dit gat ook overheidsdiensten, stad- en provinciehuizen, nutsbedrijven en een drukker van geldpapier geraakt. De overheid heeft zelf echter geen zicht op welke en hoeveel overheidsorganisaties dit beveiligingsprobleem van toepassing was. Het is demissionair Jusititie-minister Dilan Yeşilgöz-Zegerius niet bekend welke (Rijks-)overheidsorganisaties en vitale organisaties getroffen zijn door het lek voor de systemen van SMC en Securitas.
Lekkende leveranciers stellen gerust
"Vanwege de aard en beperkte impact van het lek heeft het Nationaal Cyber Security Centrum (NCSC) geen reden gezien om hierover verdere navraag te doen bij rijksoverheidsorganisaties en vitale aanbieders", antwoordt de VVD-politica op Kamervragen. "SMC en Securitas zijn zelf verantwoordelijk voor het informeren van hun klanten over het lek."
Die twee aanbieders van alarmcentrales voor fysieke locaties hebben te kennen gegeven dat ze na eigen onderzoek geen indicatie van actief misbruik van het lek hebben waargenomen bij hun klanten. "Daarnaast hebben zij aangegeven aanvullende maatregelen te hebben genomen zoals het offline halen van kwetsbare systemen, het resetten en verwijderen van de oude afmeldcodes en het inrichten van een nieuw verificatieproces." Yeşilgöz-Zegerius stelt op basis daarvan dan ook dat "(Rijks-)overheidsorganisaties en vitale organisaties daarmee voldoende zijn beschermd".
Jaar na verantwoorde melding
Ze geeft aan dat het NCSC besloten heeft geen algemeen advies op te stellen. Dit vanwege de maatregelen die door SMC en Securitas zijn getroffen, maar ook de aard van de kwetsbaarheid en de "daardoor geringe impact op haar doelgroep". In het geval van SMC hebben die maatregelen wel een jaar op zich laten wachten. Dat is dus een jaar nadat een externe expert het zelf toevallig had ontdekt. Het is niet duidelijk wat precies de leeftijd is van het gat waarlangs geheime afmeldcodes waren in te zien.
Aanvankelijk leek het alsof met de kwetsbaarheid onrechtmatig toegang verkregen kon worden tot fysieke locaties. Na onderzoek van SMC en Securitas bleek het alleen te gaan om telefonische afmeldcodes richting de centrale. "Om een alarm daadwerkelijk uit te schakelen moet lokaal een code fysiek worden ingevoerd. Deze code is alleen bekend bij de klant en was ook niet onderdeel van de kwetsbaarheid. Zonder het invoeren van deze lokale code kan het alarm niet worden uitgeschakeld", stelt de demissionaire minister van Justitie en Veiligheid gerust,
Alarmcentraleleverancier SMC is pas tot securitystappen overgegaan toen nieuwszender BNR met vragen over het lek kwam. BNR is getipt door de ontdekker die na een jaar van wachten en buikpijn is overgegaan tot 'escalatie' van zijn securityvondst. Die heeft hij gedaan door werk bij een klein theater in het oosten van Nederland, waar hij uitschakeling van de verlichting wou koppelen aan activering van het alarmsysteem.
Toevallig, in een theater
Per toeval stuitte de software-ontwikkelaar op het lek in de installateurs-app voor alarmcentrales, zoals geleverd door onder meer SMC en Securitas. Daarlangs waren gegevens van andere klanten in te zien, waaronder naast de geheime afmeldcodes ook namen en thuisadressen van CEO's, Quote500-leden, bekende Nederlanders en een voormalig minister, meldde BNR al in april.
De app is MAS Mobile Classic, van het Amerikaanse bedrijf Carrier Global, dat begin 2022 is verwijderd uit appstores. Daarmee was de app niet automatisch uitgeschakeld, geblokkeerd of uit gebruik genomen door installateurs van alarmcentrales. Carrier heeft zijn klanten in 2023 wel gewaarschuwd, maar die moesten dan zelf nog actie ondernemen.
Securitas wel snel beschermd
De Nederlandse ontdekker van de kwetsbaarheid heeft het begin 2023 gemeld bij zowel Carrier als SMC en heeft het in maart dit jaar ook aangetroffen bij Securitas. Daar waren afmeldcodes niet in te zien, maar alleen persoonsgegevens. Deze leverancier heeft toen kort daarna beschermende maatregelen getroffen.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee