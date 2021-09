Brussels Airport Company, dat de luchthaven in Zaventem uitbaat, is een van de gevoelige bedrijven die de bewuste patch van juli nog niet doorvoerde.

Meerdere gevoelige bedrijven en overheidsdiensten laten na hun servers te beschermen tegen het zeer gevaarlijke lek in Microsoft Exchange Server. Dat blijkt uit een analyse van ruim 1.600 kwetsbare servers in ons land.

Al in april raakte bekend dat bedrijven gevaar lopen gehackt te worden via de mailservers van Microsoft Exchange. Het is een van de gevaarlijkste kwetsbaarheden van de voorbije jaren. Hackers kunnen vlot paswoorden en accounts vinden in het geheugen van een server. Waardevolle paswoorden van ‘administrators’ worden verkocht aan criminelen. Wie de jongste 'patches' om zijn server te beschermen niet doorvoert, speelt met vuur.

'Misschien laksheid' Het Centrum voor Cybersecurity België (CCB), dat onder de premier valt, bevestigt het probleem. 'We hadden in maart zicht op 2.400 kwetsbare systemen in België’, zegt woordvoerster Katrien Eggers. ‘We hebben gebruikers via onze kanalen, via de pers en ook individueel proberen te waarschuwen. Er zijn meer dan 3.000 mails verstuurd. Op die manier is het aantal kwetsbare systemen gedaald, maar er zijn inderdaad nog altijd zo’n 1.600 kwetsbare systemen in België.’ ‘Laksheid? Misschien. Maar een update is niet heel eenvoudig voor een organisatie. Ze kiezen ervoor om dit één keer per maand te doen, of twee keer per jaar. Vaak moet dat gebeuren buiten de werkuren, omdat de systemen meerdere uren onbeschikbaar zijn tijdens een dergelijke patch.’ Geert Baudewijns, de CEO van het cybersecuritybedrijf Secutec, wil niet reageren op concrete gevallen. ‘Het is extreem belangrijk dat bedrijven wekelijks testen en patchen. Veel bedrijven doen jaarlijks een ‘penetratietest’ en lossen dan alle kwetsbaarheden op. Dat is te weinig en veel te laat. We hebben onlangs een test gedaan bij 100 bedrijven die sinds maart niet de nodige patches hebben gedaan. In 100 procent van de gevallen zagen we dat ze wekelijks trafiek krijgen van verdachte partijen. Die krijgen dus zeker last van hackers.’

De Tijd kreeg inzage in een lijst van 1.618 servers in België die nog altijd niet de patch van begin juli hebben doorgevoerd. De lijst is gebaseerd op scans van de internationale zoekrobot Shodan. Grote bedrijven en experts als het Centrum voor Cybersecurity België, maar ook hackers, gebruiken Shodan als een betrouwbare tool.

Astrid

Op de lijst staan servers van (zeer) gevoelige bedrijven en instanties in ons land. Een daarvan is Astrid nv, de telecomoperator voor alle politie-, hulp- en veiligheidsdiensten in België. Donderdag vroegen we Astrid waarom die patch nog altijd niet was doorgevoerd. We deden dat op basis van een scan die Shodan die dag had gedaan. De dag erna bleek uit een nieuwe scan van Shodan dat de kwetsbaarheid was weggewerkt.

Waarom verhelpt een gevoelig bedrijf als Astrid zo’n kwetsbaarheid niet sneller? ‘De procedures voor de uitrol van patches worden zo voorbereid dat de impact op de gebruikers zo gering mogelijk is’, stelt Astrid-woordvoerster Marie-Noëlle Rasson. ‘De patches voor het verhelpen van de kwetsbaarheden die in juli zijn geïdentificeerd, worden nu uitgerold en zijn vrijdag afgerond.’

De vervoersmaatschappij De Lijn bevestigt dat de scan van haar server klopt. ‘Maar er is geen lek noch hack van de systemen mogelijk’, zegt woordvoerster Karen Van der Sype. ‘We gebruiken technologie die de kwetsbaarheden afschermt, ook als de patch ontbreekt. Bij een poging tot misbruik van buitenaf zal ze het systeem meteen afsluiten en alarm slaan.'

Ook ziekenhuizen zijn kwetsbaar. Het Jan Yperman Ziekenhuis in Ieper bevestigt dat ‘door een menselijke fout’ één van de vereiste patches niet was doorgevoerd, wat vrijdag gebeurde.

Op de lijst staan ook namen die we niet kunnen vrijgeven omdat we vrijdag nog niet wisten of de kwetsbaarheid was weggewerkt. Het gaat onder andere om een server van een van de parlementen in ons land. Elf Vlaamse, Brusselse en Waalse gemeenten staan nog gevlagd als kwetsbaar. Net als een groot havenbedrijf, dat niet reageerde op onze vragen. Een Vlaamse politiezone reageerde eerst verbaasd, maar beweerde dan dat de patch niet nodig zou zijn.

Brussels Airport Company

Ook Brussels Airport Company (BAC) heeft de patch van juli nog niet doorgevoerd. De uitbater van onze nationale luchthaven zegt dat later te zullen doen omdat hij meent dat zijn server niet kwetsbaar is. Dat heeft Brussels Airport vrijdag - na onze vraag om te reageren - nog eens nagetrokken met een scan, bevestigt woordvoerster Nathalie Pierard.