Uit onderzoek van Reporter Radio blijkt zondag dat bijna negenhonderd Nederlandse bedrijven kwetsbaar zijn voor een gevaarlijk lek in het Fortigate-VPN. Het gaat om een vergelijkbare kwetsbaarheid als bij VPN-dient Pulse Secure waar de Volkskrant zaterdag over berichtte. Het lek vormt een ernstig veiligheidsrisico voor bedrijven en instellingen in Nederland.

Het radioprogramma deed samen met IT-beveiligingsbedrijf ESET Nederland onderzoek naar het lek bij het Fortigate-VPN, waar net als bij Pulse Secure in maart dit jaar een gevaarlijke kwetsbaarheid werd ontdekt. Uit het onderzoek kwam een lijst met bijna 900 Nederlandse bedrijven waarvan de systemen kwetsbaar zijn door het lek.

Via het VPN-netwerk kunnen gebruikers via een veilige verbinding op afstand werken. Door de kwetsbaarheid kunnen kwaadwillenden toegang krijgen tot dit netwerk en toegang krijgen tot gevoelige gegevens of zelf software installeren op systemen.

Het beveiligingslek is in mei al door Fortinet verholpen met een update, maar uit het onderzoek van Reporter Radio blijkt dat negenhonderd bedrijven deze update nog niet hebben geïnstalleerd. Om veiligheidsreden kan de lijst met bedrijven niet gedeeld worden, maar volgens het programma gaat het om veel ICT-bedrijven, zorginstellingen, onderwijsinstellingen en een beursgenoteerde onderneming.

De kwetsbare bedrijven zijn gemeld bij het Nationaal Cyber Security Centrum (NCSC). Het NCSC kwam in augustus met een beveiligingsadvies met betrekking tot de kwetsbaarheid in de software van Fortigate en beoordeelde het lek als zeer gevaarlijk, mede omdat het lek actief gebruikt wordt door kwaadwillenden om bij bedrijven binnen te komen.

Het NCSC gaat de betreffende overheidsorganisaties en belangrijke bedrijven zoals energiemaatschappijen waarschuwen.

Mkb-bedrijven extra kwetsbaar door lek

Volgens directeur Dave Maasland van ESET Nederland komen er ook veel mkb-bedrijven voor op de lijst met kwetsbare bedrijven. Deze ondernemingen zijn volgens Maasland extra kwetsbaar, "omdat in de praktijk blijkt dat deze bedrijven hun ICT-beveiliging helemaal niet goed op orde hebben". Hierdoor kunnen kwaadwillenden meer schade aanrichten als ze binnenkomen via de kwetsbaarheid in de VPN-verbinding.

Via kleine bedrijven kunnen ook grote instellingen kwetsbaar zijn. Zo bleek afgelopen week nog dat Chinese hackers hebben geprobeerd om vliegtuigfabrikant Airbus aan te vallen via aannemers. Met het lek in het Fortigate-VPN is dit ook mogelijk. Dit kan bijvoorbeeld via de ICT-bedrijven die Fortigate gebruikt hebben en de update niet hebben geïnstalleerd.