De VPN-netwerken van onder meer Luchtverkeersleiding Nederland, Shell, KLM, de rijksoverheid en honderden andere bedrijven in Nederland waren maandenlang toegankelijk voor kwaadwillenden, schrijft de Volkskrant zaterdag. Bronnen vertellen aan de krant dat het Nationaal Cyber Security Centrum (NCSC) bijna een half jaar de nationale veiligheid niet kon waarborgen.

Er zou een lek hebben gezeten in de VPN-verbindingen van de getroffen bedrijven. Met een VPN-dienst kunnen werknemers vanuit verschillende locaties verbinding maken met het bedrijfsnetwerk.

Door het lek zouden hackers "vrij eenvoudig" wachtwoorden en gebruikersnamen hebben kunnen achterhalen. Ook konden zij vanaf internet bestanden inzien en van de VPN-verbinding gebruikmaken alsof ze werknemers waren.

Alle genoemde Nederlandse bedrijven zouden de VPN-dienst van Pulse Secure gebruiken, schrijft de Volkskrant. Het bedrijf zou wereldwijd meer dan twintigduizend klanten hebben, waaronder meerdere defensiebedrijven, Luchtverkeersleiding Nederland en meerdere zorgverleners.

De bronnen noemen met name het lek bij Luchtverkeersleiding Nederland "zorgelijk", omdat hackers binnen luttele minuten in het systeem van de organisatie konden komen.

'Lek werd in maart ontdekt, maar bedrijven stelden update uit'

Het lek zou door twee onderzoekers uit Taiwan aan het licht gebracht zijn en in maart bij Pulse Secure gemeld zijn. In april kwam er een update voor de VPN-dienst, maar volgens de Volkskrant waren tientallen Nederlandse bedrijven tot en met augustus nog steeds kwetsbaar, waaronder de rijksoverheid.

Pas nadat een beveiligingsexpert aan de bel trok bij het NCSC, zouden meer bedrijven de noodzakelijke update hebben uitgevoerd.

Op de vraag waarom het Nationaal Cyber Security Centrum niet eerder ingreep, antwoordt het dat het "geen wettelijke bevoegdheid" om in te grijpen heeft en dat organisaties zelf verantwoordelijk zijn voor het nemen van maatregelen.