Pulse Secure, een beveiligingssysteem dat door honderden bedrijven in Nederland wordt gebruikt om data te beschermen, bleek een gigantische zwakke plek te hebben. De update die hiervoor beschikbaar kwam, werd door veel bedrijven en instanties niet geïnstalleerd. En dit is dus waarom ik de overheid en de meeste bedrijven niet met digitale gegevens vertrouw. Pulse Secure signaleerde de zwakke plek in hun beveiligingssoftware en had dit binnen een maand opgelost met een update. Mensen bij het ministerie van Justitie en Veiligheid, Luchtverkeersleiding Nederland,
Schiphol,
KLM,
Shell en tal van andere bedrijven hebben gewoon liggen slapen.
Uit de berichtgeving blijkt dat de zwakke plek zelfs door een computer leek kon worden misbruikt. Kun je het je voorstellen? Inloggegevens van dit soort bedrijven die gewoon kunnen worden buitgemaakt door één of andere 14-jarige snotneus? Wie kwaad in de zin heeft had dus vrij makkelijk heel Schiphol plat kunnen leggen, vliegtuigen tegen elkaar op kunnen laten botsen, dossiers van criminelen kunnen verwijderen en ga zo maar door. Met een kwetsbaarheid van deze omvang is fantasie de enige limiet voor de schade die zou kunnen worden aangericht.
Pulse Secure bleef hameren op het installeren van die update maar kon het niet forceren, zoals een Microsoft bijvoorbeeld bij Windows doet. Het Nederlandse Cyber Security Center schatte het risico in eerste instantie laag in (ondanks dat er dus geeneens kennis van computers hacken nodig was) maar veranderde dit een paar maanden na de ontdekking van de fout toch maar naar 'hoog'. Daar was wel een presentatie en een rapport van de ontdekkers van de softwarefout voor nodig. Je vraagt je dan af wat voor experts dat NCSC van ons in huis heeft...