Negenhonderd Nederlandse bedrijven, waaronder veel ICT-bedrijven, zorginstellingen, onderwijsinstellingen en een beursgenoteerde onderneming, zijn kwetsbaar voor een gevaarlijk lek in het Fortigate-VPN, zo meldt Reporter Radio. Het gaat om een vergelijkbare kwetsbaarheid als bij VPN-dienst Pulse Secure waar de Volkskrant afgelopen weekend over berichtte. Het lek vormt een ernstig veiligheidsrisico voor bedrijven en instellingen in Nederland.
Minister Ferdinand Grapperhaus van Justitie & Veiligheid reageerde direct op dit nieuws tijdens een interview voor het Financieele Dagblad. Hij wil harder optreden tegen bedrijven die hun ict-beveiliging niet op orde hebben. Dat kan een boete of een dwangsom zijn maar de bewindsman denkt ook na over mandaat voor het Nationaal Cyber Security Center (NCSC) om in te grijpen.
Het radioprogramma Reporter Radio deed samen met IT-beveiligingsbedrijf ESET Nederland onderzoek naar het lek bij het Fortigate-VPN, waar net als bij Pulse Secure in maart dit jaar een gevaarlijke kwetsbaarheid werd ontdekt. Uit het onderzoek kwam een lijst met bijna 900 Nederlandse bedrijven waarvan de systemen kwetsbaar zijn door het lek.
Via het VPN-netwerk kunnen gebruikers via een veilige verbinding op afstand werken. Door de kwetsbaarheid kunnen kwaadwillenden toegang krijgen tot dit netwerk en toegang krijgen tot gevoelige gegevens of zelf software installeren op systemen.
Het beveiligingslek is in mei al door Fortinet verholpen met een update, maar uit het onderzoek van Reporter Radio blijkt dat negenhonderd bedrijven deze update nog niet hebben geïnstalleerd. Om veiligheidsreden kan de lijst met bedrijven niet gedeeld worden, maar volgens het programma gaat het om veel ICT-bedrijven, zorginstellingen, onderwijsinstellingen en een beursgenoteerde onderneming.
De kwetsbare bedrijven zijn gemeld bij het Nationaal Cyber Security Centrum (NCSC). Het NCSC kwam in augustus met een beveiligingsadvies met betrekking tot de kwetsbaarheid in de software van Fortigate en beoordeelde het lek als zeer gevaarlijk, mede omdat het lek actief gebruikt wordt door kwaadwillenden om bij bedrijven binnen te komen.
Het NCSC gaat de betreffende overheidsorganisaties en belangrijke bedrijven zoals energiemaatschappijen waarschuwen.
Mkb-bedrijven extra kwetsbaar door lek
Volgens directeur Dave Maasland van ESET Nederland komen er ook veel mkb-bedrijven voor op de lijst met kwetsbare bedrijven. Deze ondernemingen zijn volgens Maasland extra kwetsbaar, "omdat in de praktijk blijkt dat deze bedrijven hun ICT-beveiliging helemaal niet goed op orde hebben". Hierdoor kunnen kwaadwillenden meer schade aanrichten als ze binnenkomen via de kwetsbaarheid in de VPN-verbinding.
Via kleine bedrijven kunnen ook grote instellingen kwetsbaar zijn. Zo bleek afgelopen week nog dat Chinese hackers hebben geprobeerd om vliegtuigfabrikant Airbus aan te vallen via aannemers. Met het lek in het Fortigate-VPN is dit ook mogelijk. Dit kan bijvoorbeeld via de ICT-bedrijven die Fortigate gebruikt hebben en de update niet hebben geïnstalleerd.
