Brief regering : Analyse van de gelopen risico’s door de kwetsbaarheden in de virtual private network (VPN) software van het bedrijf Pulse Secure
26 643 Informatie- en communicatietechnologie (ICT)
Nr. 666 BRIEF VAN DE MINISTER VAN JUSTITIE EN VEILIGHEID
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 11 februari 2020
Tijdens het mondelinge vragenuur op 1 oktober jl. gaf ik aan een analyse te laten
verrichten van de gelopen risico’s door de kwetsbaarheden in de virtual private network
(VPN) software van het bedrijf Pulse Secure (Handelingen II 2019/20, nr. 7, item 2). Hierbij bied ik uw Kamer de conclusies van deze analyse aan.
Kwetsbaarheden in VPN-software
Een VPN is een technische oplossing om een (beveiligde) verbinding op te zetten tussen
verschillende systemen of netwerken over het internet, bijvoorbeeld om computers buiten
een bedrijfsnetwerk op een veilige manier toegang te geven tot (onderdelen van) het
interne bedrijfsnetwerk. In het geval van Pulse Secure zaten er kwetsbaarheden in
oudere versies van de VPN-software. Kwaadwillenden kunnen via deze kwetsbaarheden
toegang verkrijgen tot interne netwerksystemen van personen en organisaties die gebruik
maken van deze kwetsbare software. Iedere soort software kan kwetsbaarheden bevatten
die misbruikt kunnen worden.
De NCTV stelt jaarlijks een cybersecuritybeeld op om inzicht te geven in dreigingen,
belangen en weerbaarheid op het gebied van cybersecurity in relatie tot de nationale
veiligheid. In het Cybersecuritybeeld Nederland 20191 wordt geschetst dat sprake is van een toenemende digitale dreiging, met als grootste
dreiging voor de nationale veiligheid, de dreiging die van statelijke actoren uitgaat.
Daarnaast blijft ook de dreiging vanuit criminelen onverminderd groot. Kwetsbaarheden
in software zijn niet te voorkomen. Om de weerbaarheid tegen digitale dreigingen,
waaronder ook deze kwetsbaarheden, te versterken heeft het kabinet de Nederlandse
Cybersecurity Agenda (NCSA)2 en een versterkte aanpak cybersecurity met vier actielijnen opgesteld.3 Belangrijk uitgangspunt is dat organisaties zelf primair verantwoordelijk zijn voor
het beveiligen van hun digitale systemen, bijvoorbeeld door het regelmatig en tijdig
uitvoeren van beveiligingsupdates in hun software.
Kwetsbaarheid Pulse Secure VPN-software
Op 24 april 2019 publiceerde de producent van VPN-software, Pulse Secure, een artikel
op hun website waarin werd gemeld dat een update beschikbaar was gesteld voor een
op 22 maart 2019 ontdekte kwetsbaarheid. Dit artikel is op 1 mei 2019 onder aandacht
van het Nationaal Cyber Security Centrum (NCSC) gekomen. Op basis hiervan is een beveiligingsadvies
opgesteld, dat op de site van het NCSC is gepubliceerd,4 en zijn organisaties die onderdeel zijn van de rijksoverheid en vitale aanbieders
(Rijk en vitaal) hierover nader geïnformeerd. Omdat er op dat moment geen «exploitcode»
beschikbaar was om de kwetsbaarheid daadwerkelijk te kunnen misbruiken, werd de kwetsbaarheid
op dat moment geclassificeerd als medium/high. Classificatie medium/high betekent dat de kans op misbruik gemiddeld is en de schade aan het systeem bij misbruik
hoog wordt geacht. Het verschil dat een exploitcode maakt is dat zonder die code de
kwetsbaarheid zelf wel bekend is, maar nog niet bekend is hoe deze misbruikt kan worden.
In augustus 2019 is er een exploitcode bekend geworden. Daarop heeft het NCSC op 21 augustus
2019 de kwetsbaarheid opnieuw beoordeeld en de classificatie verhoogd naar high/high, de hoogste classificatieklasse. Naast publicatie van het high/high beveiligingsadvies5 door het NCSC op zijn website, zijn organisaties binnen Rijk en vitaal waarvan bekend
was dat ze gebruik maakten van de betreffende software telefonisch door het NCSC geïnformeerd.
Omdat het NCSC ook van kwetsbaarheden in systemen buiten Rijk en vitaal is gebleken,
is deze informatie gedeeld met enkele andere organisaties waarvan bijvoorbeeld binnen
hun doelgroep de software mogelijkerwijs ook in gebruik was. Op basis van later in
augustus ontvangen aanvullende informatie over kwetsbare systemen in Nederland, heeft
het NCSC wederom een aantal organisaties binnen Rijk en vitaal en enkele andere bovenbedoelde
organisaties nader geïnformeerd. Ook na augustus heeft het NCSC steeds, indien op
basis van nieuwe informatie daar aanleiding toe was, bovengenoemde organisaties geïnformeerd.
Ook is in breder verband algemene informatie over de kwetsbaarheid gedeeld met andere
samenwerkingspartners. Het Computer Security Incident Response Team voor digitale
diensten (CSIRT-DSP, onderdeel van het Ministerie van EZK)6 heeft naar aanleiding van de van het NCSC ontvangen informatie contact gelegd met
een tiental digitale dienstverleners die mogelijk kwetsbare VPN-systemen in hun netwerk
hadden staan.7
Ook bij onderdelen die onder het Ministerie van Justitie en Veiligheid vallen, is
sprake geweest van de kwetsbaarheid in de VPN-software. Na de eerste waarschuwing
van het NCSC op 1 mei 2019 zijn binnen mijn ministerie voor bijna alle onderdelen
updates doorgevoerd. Toen het advies van het NCSC op 21 augustus 2019 werd omgezet
in het high/high beveiligingsadvies bleek op aangeven van het NCSC dat nog twee resterende onderdelen
de updates op dat moment niet hadden doorgevoerd. Deze onderdelen hebben binnen enkele
dagen na dit high/high beveiligingsadvies de kwetsbaarheid met spoed verholpen middels een update. Dit is
binnen de richtlijn van een week die de Baseline Informatiebeveiliging Overheid (BIO)
stelt voor dit soort beveiligingsadviezen.8 Naar aanleiding van deze casus is met deze onderdelen gesproken en wordt nu geëvalueerd
hoe in de toekomst dergelijke kwetsbaarheden sneller verholpen kunnen worden.
Het eind 2017 opgerichte Digital Trust Center (DTC; onderdeel van het Ministerie van
EZK) beoogt als one stop shop de circa 1,8 miljoen bedrijven in Nederland die niet als vitaal zijn aangemerkt weerbaarder
te maken tegen cyberdreigingen. Naar aanleiding van de verhoging van de classificatie
van het beveiligingsadvies van het NCSC heeft het DTC zijn doelgroep zo breed en grootschalig
mogelijk via diverse kanalen geïnformeerd.9 Tevens heeft het DTC in de daarop volgende weken meermalig (media-)aandacht besteed
aan de kwetsbaarheid en zijn doelgroep op de hoogte gehouden van de ontwikkelingen.
De AIVD en de MIVD hebben gesignaleerd dat statelijke actoren misbruik maken van de
kwetsbaarheid in de Pulse Secure VPN-software. Daarom hebben de AIVD en MIVD ook bedrijven
en andere organisaties geadviseerd over weerbaarheidsverhogende maatregelen.
Deze problematiek was tot slot wereldwijd aan de orde, zoals nagenoeg altijd het geval
is bij digitale kwetsbaarheden. Zo hebben ook de Britse en Amerikaanse autoriteiten
aandacht besteed aan deze kwetsbaarheid10 waarbij ook is vermeld dat advanced persistent threat-actoren (APT’s) kwetsbaarheden in VPN-software hebben misbruikt.
Belang van versterkte aanpak cybersecurity
In Nederland is voor zover mij bekend door deze kwetsbaarheid geen schade ontstaan
bij de rijksoverheid of bij aanbieders in de vitale infrastructuur. Evenwel tonen
de mogelijkheden tot misbruik van dit soort kwetsbaarheden het belang aan van alertheid
en het tijdig ingrijpen door organisaties als zij door het NCSC, het DTC, het CSIRT-DSP
of op andere wijze gewaarschuwd of geïnformeerd worden. Het signaleren van en het
nemen van passende maatregelen ten aanzien van kwetsbaarheden, zoals die in de VPN-software
van Pulse Secure, is primair de verantwoordelijkheid van iedere organisatie zelf,
zowel binnen als buiten de rijksoverheid. De adviezen van bijvoorbeeld het NCSC en
het DTC dragen er in belangrijke mate aan bij dat organisaties die verantwoordelijkheid
kunnen nemen.
Buiten deze adviezen wordt er nog veel meer gedaan door de overheid om de digitale
weerbaarheid in Nederland te verhogen. Deze casus en vergelijkbare kwetsbaarheden,
zoals de kwetsbaarheid in Citrix producten waarover uw Kamer op 20 en 23 januari jl.
geïnformeerd is,11 laten zien hoe belangrijk het is om aan onze digitale weerbaarheid te blijven werken
en hoe hard de kabinetsbrede investeringen en inzet op cybersecurity nodig zijn. Zoals
ik in het kader van de versterkte aanpak van cybersecurity12 aangaf, versterk ik de regie op cybersecurity. Inzet is om de bewustwording van de
risico’s voor de digitale weerbaarheid te vergroten, de beheersmaatregelen en het
toezicht te versterken, meer te oefenen en te testen en meer gebruik te maken van
regie- en interventiemogelijkheden, dit alles om het digitale weerbaarheidsniveau
structureel te verhogen. Onderdeel hiervan is bijvoorbeeld dat het NCSC afspraken
maakt met de betrokken sectorale toezichthouders over het in bepaalde gevallen informeren
van die toezichthouders over dreigingen en incidenten. Uw Kamer blijf ik informeren
over de voortgang van de aanpak langs de ambities van de Nederlandse Cybersecurity
Agenda en de in dat kader ingezette versterkte aanpak. Daarnaast ontvangt uw Kamer
in dit kader in het voorjaar van 2020 de kabinetsreactie op het WRR-rapport «Voorbereiden
op digitale ontwrichting» en ook de eerste bevindingen van de evaluatie in het kader
van de Citrix kwetsbaarheid. Hierover en over de brede aanpak van cybersecurity blijf
ik graag met uw Kamer in gesprek.
De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus
Indieners
F.B.J. Grapperhaus, minister van Justitie en Veiligheid