Het zal inmiddels niemand meer zijn ontgaan: honderden Nederlandse organisaties stonden - en sommige staan nog - blootgesteld aan digitale aanvallen via kritieke kwetsbaarheden in de VPN-producten Pulse Connect Secure en FortiGate.
Taiwanese onderzoekers ontdekten dat deze producten ernstige kwetsbaarheden bevatten en hebben de vendors (Pulse Secure en Fortinet) geïnformeerd. De vendors hebben daarna een beveiligingsupdate gebracht en die meerdere malen onder de aandacht gebracht. Ook het NCSC heeft het onder de aandacht gebracht.
Niettemin ontdekten verschillende partijen, waaronder Matthijs R. Koot van Secura, dat de update eind augustus --- vier maanden na publicatie van de beveiligingsupdate --- op vele honderden systemen van Nederlandse organisaties nog altijd niet was geïnstalleerd. Het ging onder meer om vele enterprise-level c.q. landelijke organisaties, in allerlei sectoren: Rijksoverheid, defensie-industrie, zorg, industrie, financiën, onderwijs,
Gezien de aard en omvang van het probleem, waarvan de huidige casus slechts een symptoom is, is een (wetenschappelijke) evaluatie geen overbodige luxe.
Vele partijen, niet alleen Secura en ESET, spannen zich dagelijks in voor verbetering. Dat gebeurt achter de schermen en in vertrouwelijkheid. Maar wanneer sprake is van een structureel probleem, moet dat worden aangekaart. Wij menen dat daarvan sprake is, en hopen dat mediaberichten zullen bijdragen aan verbetering. Zie onder andere de publicaties in de Volkskrant, Reporter Radio NPO Radio 1 en onze vorige publicatie hierover.
Secura volgt de ontwikkelingen op de voet en geeft hier uiteraard de nodige opvolging aan. Schrijf je in voor Secura's periodieke nieuwsbrief en mis geen enkele update.