Ook het Amerikaanse departement van Handel werd geraakt door de aanval. Beeld AFP

Onder meer de departementen Binnenlandse Veiligheid, Financiën en Handel zijn geraakt. De hack, de omvangrijkste in vijf jaar tijd, heeft waarschijnlijk ook gevolgen voor Nederland. Het Nederlandse NCSC liet op maandag de hoogste waarschuwing uitgaan.

De hack is aan het licht gekomen doordat FireEye, een groot Amerikaans cybersecuritybedrijf, onlangs ontdekte dat het zélf was gehackt. Volgens Amerikaanse media kwam FireEye erachter dat de Russische hackers binnen waren gekomen via een zogeheten supply-chain-attack: een product infiltreren dat weer in duizenden computernetwerken zit. Dat product is van het Amerikaanse bedrijf SolarWinds en wordt door grote bedrijven en overheden gebruikt. Middels updates van de software van SolarWinds werd de malware van de aanvallers in de netwerken geïnjecteerd.

Achterdeur

De Russische hackers – naar verluidt van Cozy Bear, dat gelieerd is aan de Russische buitenlandse dienst SVR – hadden volgens FireEye sinds maart toegang tot SolarWinds en konden vanaf dat moment een achterdeurtje bij bedrijven en overheden installeren. Met zo’n achterdeur hebben hackers altijd toegang tot een netwerk. Bij de Amerikaanse departementen Financiën en Handel hadden ze ongebreideld toegang tot e-mails. Het lijkt erop dat ze vrij gericht te werk gingen.

Frank Groenewegen, vanaf januari partner Cyber Risk bij Deloitte, zegt dat de impact ook in Nederland ‘enorm’ kan zijn. SolarWinds heeft 300.000 klanten wereldwijd, waaronder bedrijven als Siemens en ING. 18.000 daarvan zouden een risico lopen. Groenewegen: ‘Reken maar dat daar ook Nederlandse organisaties bij zitten.’

Interessant is volgens Groenewegen hoe SolarWinds en bedrijven in kaart brengen wie risico loopt. ‘Welke partij heeft die specifieke versie van SolarWinds? Welke rol heeft die in de keten? En zijn die actief onderzoek aan het doen?’ Ook relevant is wat het NCSC, dat over digitale veiligheid gaat, zal doen om bedrijven aan te sporen de gevolgen te beperken en updates uit te voeren. NCSC heeft op maandag een advies uitgebracht waarin risico en impact op hoog/hoog staan. ‘Door een nog onbekende methode is tussen maart en juni 2020 een versie van Orion verspreid, waar een Trojan in blijkt te zitten.[…] Hiermee gecompromitteerde infrastructuren staan (…) volledig onder controle van kwaadwillenden en deze zijn in staat om willekeurige code uit te voeren of toegang te krijgen tot gevoelige gegevens.’

Critici verweten het NCSC dit weekend in de Volkskrant niet goed aan informatiedeling over kwetsbaarheden te doen. Het NCSC waarschuwt enkel specifiek vitale organisaties – een select gezelschap van de belangrijkste Nederlandse instellingen. Grote bedrijven, gemeenten en ook MKB-bedrijven vallen daarbuiten. Maar een niet-vitale it-leverancier kan ook risico lopen en voor een vitale partij diensten leveren. Bovendien is het onmogelijk om, zoals bij lekken in VPN-services of Citrix, het internet te scannen om te zien wie er kwetsbaar zijn. Of het advies van het NCSC wordt opgevolgd, is afhankelijk van oplettende systeembeheerders. Groenewegen: ‘Bij voorgaande hacks of lekken zag je dat bepaalde organisaties pas na maanden doorhadden dat ze kwetsbaar waren. En soms wéten bedrijven niet welke software ze zelf gebruiken, dan kun je ook niet reageren en onderzoek doen.’