Een VPN-lek: Wat kun je zelf doen?

Door zwakke plekken in verschillende VPN-diensten waren bijna duizend organisaties in Nederland onlangs kwetsbaar voor netwerkaanvallen. Wat betekent dat eigenlijk? In dit blog beantwoorden we vijf vragen over de recente lekken in VPN-oplossingen.

Wat is er gebeurd?

De media berichtten recent over een VPN-lek. Daardoor waren honderden organisaties bijna een half jaar lang kwetsbaar voor cybercriminelen, ondanks de beschikbaarheid van patches. Hackers konden gegevens stelen en malware installeren. Er zijn geen gevallen bekend van daadwerkelijke incidenten. Maar het risico dat meerdere defensiebedrijven, Luchtverkeersleiding Nederland en meerdere zorgverleners liepen, is ernstig genoeg.

Is VPN zelf onveilig?

Nee. VPN’s blijven de veiligste manier om via het openbare internet verbinding te maken met een bedrijfsnetwerk. VPN versleutelt het verkeer tussen het apparaat van de gebruiker en de ICT-omgeving van de organisatie. Hierdoor is er toegang vanuit het openbare netwerk, zonder dat iemand dataverkeer kan aftappen. De versleuteling is gebaseerd op Point-to-point Protocol (PPP) en alleen in theorie te kraken. De encryptie is zo complex dat er extreem veel rekenkracht nodig zou zijn om hier succes mee te hebben. Zelfs de best uitgeruste cybercriminelen, zoals staatshackers, hebben daar de tijd niet voor.

Het is echter wel mogelijk dat ze de implementatie rond VPN weten te kraken, om zo gebruikersnamen en wachtwoorden te stelen. Dat is ook in dit geval gebeurd. Het lek zat dus niet in de VPN zelf, maar in de VPN-diensten van Pulse Secure en FortiGate-VPN.

Hoe groot was het risico?

De lekken zijn in maart ontdekt door Taiwanese security-onderzoekers. Het goede nieuws is dat de leveranciers al binnen een maand patches uitgaven om de lekken te dichten. Het slechte nieuws is dat veel organisaties en bedrijven deze patches niet snel toepasten.

Het Nationaal Cyber Security Centrum (NCSC), de overheidsinstantie die toe moet zien op cyberveiligheid, adviseerde tot twee keer toe de patches toe te passen. De eerste keer schatte deze instantie het risico op misbruik in als ‘laag’. De lekken waren niet algemeen bekend, maar voor hackers die deze kwetsbaarheden kenden, is misbruik ervan zeer eenvoudig. Dat veranderde toen de onderzoekers een presentatie gaven op de beveiligingsconferentie Black Hat. Kort daarna zochten hackers in Chinese dienst naar verluidt actief naar bedrijven die Pulse Secure inzetten. Via die route zouden ze dezelfde toegang kunnen hebben als medewerkers. Rond dezelfde tijd zouden volgens De Volkskrant nog steeds honderden Nederlandse systemen open staan. De NCSC had het risico toen al opgeschaald naar ‘hoog’.

Wie zat er fout?

Dat is moeilijker vast te stellen dan het lijkt. Het beste antwoord is: niemand echt, maar iedereen een beetje. Software zit complex in elkaar, en dat  geldt ook voor de implementatie van security-oplossingen. De leveranciers gaven binnen een maand na de melding patches uit. Het ging hier om twee zeer grote security-leveranciers, waarvan er één wereldwijd VPN-diensten levert aan kritieke organisaties, zoals nuts- en infrastructuurbedrijven.

Beheerders hadden op papier meteen moeten patchen, en lieten dat na. Kritieke ICT-systemen kun je echter niet zomaar patchen. Je moet bijvoorbeeld controleren of de systemen na de patches nog wel werken. En het NCSC kan alleen waarschuwingen geven. Wellicht had dit centrum meteen een hoge urgentie mee moeten geven aan deze patches. Maar dat zijn allemaal beschouwingen achteraf.

Hoe kunnen bedrijven zelf het risico beperken?

Op ieder moment kunnen lekken opduiken waar nog geen patch voor bestaat. Daar valt op zich weinig tegen te doen. Maar met de juiste maatregelen kunnen bedrijven in ieder geval het risico op schade en diefstal beperken. Criminelen kunnen bijvoorbeeld weinig uitrichten met inloggegevens als het land van waaruit ze inloggen op een zwarte lijst staat. En security die uit meerdere lagen bestaat, zorgt voor een enorme verlaging van het risico.

Meer weten

Whitepaper: 'Basisbeveiliging'

Zo beperk je het risico op cybercriminaliteit. Whitepaper voor ondernemers, directeuren en managers.

Download

Gerelateerde artikelen