Het Nationaal Cyber Security Center (NCSC) kan niets doen tegen bedrijven, instanties en vitale overheden die zijn adviezen niet opvolgen om hun computersystemen te updaten en beter beveiligen. Ook na gerichte waarschuwingen, zelfs aan vitale overheden, is het afwachten of er actie wordt ondernomen. Het NCSC kan niet ingrijpen of dwingen om maatregelen te nemen, omdat dit niet onder de wettelijke bevoegdheden valt.
Een woordvoerster van het NCSC reageert daarmee op berichtgeving zaterdag in de Volkskrant over interne netwerken van honderden bedrijven en instanties die maandenlang open lagen. Kwaadwillenden konden er makkelijk in komen via een lek in de zogeheten VPN, een beveiligde verbinding tussen de gebruiker en een intern netwerk. De leverancier is Pulse Secure, wereldwijd een grote leverancier van VPN's. Bronnen zeggen tegen de krant dat het onder meer gaat om KLM, defensiebedrijven, het ministerie van Veiligheid en Justitie en Luchtverkeersleiding Nederland. Het NCSC mag niets zeggen over namen van bedrijven of instanties.
Nog steeds geen cruciale update uitgevoerd
Nog steeds zijn tientallen bedrijven kwetsbaar, omdat zij ondanks waarschuwingen van de leverancier én van het NCSC nog steeds geen cruciale update hebben uitgevoerd, zo voert de krant IT-beveiligingsexpert Matthijs Koot op. Hij ontdekte eind augustus dat tientallen bedrijven nog steeds met een onveilige VPN zitten. NCSC had toen ook al twee keer gewaarschuwd, in het voorjaar met een lage inschatting van misbruik, maar in augustus kreeg de ernst van het lek en de kans op misbruik een hoge classificatie. Toen was een bepaalde code bekend geworden, aldus de woordvoerster.
Ze wijst erop dat de NCSC geen toezichthouder is, maar alleen informatie verspreidt en adviezen geeft over over cyberveiligheid. Ook biedt het NCSC desgevraagd hulp en doet het eigen onderzoek.
Bron: ANP