Een woordvoerster van het NCSC reageert daarmee op berichtgeving zaterdag in de Volkskrant over interne netwerken van honderden bedrijven en instanties die maandenlang open lagen. Bij tientallen bedrijven is dit nog steeds het geval. Kwaadwillenden konden en kunnen er makkelijk in komen via een lek in de zogeheten VPN, een beveiligde verbinding tussen de gebruiker en een intern netwerk. De leverancier is Pulse Secure, die wereldwijd levert.

Bronnen zeggen tegen de krant dat het onder meer gaat om KLM, defensiebedrijven, het ministerie van Veiligheid en Justitie en Luchtverkeersleiding Nederland. Het NCSC mag niets zeggen over namen. Woordvoerders van KLM en de luchtverkeersleiding zeggen in een reactie dat het gat meteen is gedicht nadat het bekend was geworden. Dat gebeurde volgens hen al maanden geleden, maar wanneer precies maatregelen zijn genomen, zeggen ze niet.

Toch liggen de netwerken van tientallen bedrijven nog open, omdat zij nog steeds geen cruciale update hebben uitgevoerd, zo voert de krant IT-beveiligingsexpert Matthijs Koot op. Hij ontdekte dat eind augustus. Zowel leverancier Pulse Secure als het NCSC had toen al twee keer gewaarschuwd. In augustus maakte het NCSC er een zwaardere waarschuwing van, aldus de woordvoerster.

Ze wijst erop dat de NCSC geen toezichthouder is, maar alleen informatie verspreidt en adviezen geeft over cyberveiligheid. Ook biedt het NCSC desgevraagd hulp en doet het eigen onderzoek. Het is volgens haar aan de politiek om eventueel de bevoegdheden en activiteiten uit te breiden.