Logo van softwarebedrijf Citrix op het hoofdkantoor in Santa Clara

Knops: ‘Citrix-lek is nu helemaal in control’

Laatst bijgewerkt: 6 oktober 2020
Leestijd: 3 minuten, 14 seconden

Tijdens het Algemeen Overleg over digitalisering stelde CDA-Kamerlid Chris van Dam de vraag of de overheid het Citrix-lek ‘in control’ heeft. Staatssecretaris Raymond Knops van Binnenlandse Zaken en Koninkrijksrelaties reageert nu op de vragen van het Kamerlid. In een brief aan de Tweede Kamer schrijft de bewindsman dat, voor zover bij hem bekend is, het probleem nu helemaal onder controle is.

Dat schrijft Knops aan de Tweede Kamer.

Dit is het Citrix-lek in een notendop

Citrix is een softwareleverancier waarmee klanten op een veilige en verantwoorde manier op afstand kunnen inloggen op hun bedrijfsnetwerk en servers. Duizenden bedrijven wereldwijd maken gebruik van de diensten van het bedrijf om op afstand te kunnen werken. Zeker nu het coronavirus de gemoederen dagelijks bezighoudt, is het belangrijker dan ooit dat de software goed en naar behoren werkt.

Maar zo en dan gaat het mis. Eind vorig jaar maakte Citrix bekend dat er een beveiligingslek in de software van het bedrijf zat. Daarmee was het mogelijk om op afstand de controle over te nemen van Citrix-systemen. En dus binnen te dringen op de netwerken en servers van klanten die gebruikmaken van de software van Citrix. Dit wordt ook wel remote code execution genoemd.

Begin dit jaar kwam Citrix met een oplossing om haar systemen en die van haar klanten te beschermen. Om het beveiligingslek te dichten, moesten bedrijven zelf actie ondernemen. Vele hebben dat gedaan, maar sommige hebben dit nagelaten. Daardoor bleven hun netwerken gevoelig voor binnendringers. Vele bedrijven waren de afgelopen maanden dan ook het haasje. Eén van hen was het Medisch Centrum Leeuwarden, waar hackers (zonder succes) probeerden patiëntgegevens buit te maken.

‘Citrix-lek wordt volop misbruikt’

Het beveiligingslek bij Citrix is op papier weliswaar verholpen, maar de praktijk is een stuk weerbarstiger. Begin juli ontdekte beveiligingsbedrijf Fox-IT dat het lek nog altijd actief werd misbruikt. Wereldwijd waren er toen ruim 3.300 servers gehackt.

Volgens De Volkskrant hadden hackers op dat moment toegang tot het interne netwerk van minimaal 25 Nederlandse bedrijven. En niet zomaar bedrijven: naar verluidt ging het om een bedrijf dat watermerken maakt voor bankbiljetten, een farmaceutisch bedrijf en een organisatie voor de gehandicaptenzorg.

De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) waarschuwde voor het veiligheidslek bij Citrix. Volgens hem toont het aan dat overheidsorganisaties en bedrijven niet altijd goed beschermd zijn tegen cyberaanvallen, met mogelijk maatschappij-ontwrichtende consequenties tot gevolg. Zijn oplossing: meer investeren in digitale beveiliging en weerbaarheid.

‘Rijksoverheidsorganisaties zijn helemaal in control’

Voor Chris van Dam van het CDA was het Citrix-lek reden om kritische vragen te stellen bij het Algemeen Overleg over digitalisering. Hij vroeg zich af het gevaar geweken was en de overheid nu ‘helemaal in control’ was.

Maandag kwam staatssecretaris Knops van Binnenlandse Zaken en Koninkrijksrelaties met het antwoord op deze prangende vraag. In een brief aan de Tweede Kamer schrijft hij het volgende: “Op basis van de mij nu bekende informatie zijn Rijksoverheidsorganisaties in control  naar aanleiding van het Citrix-incident waar de Volkskrant op 1 juli over berichtte.”

Knops benadrukt dat ieder departement zelf verantwoordelijks is voor het op orde hebben van zijn eigen informatiebeveiliging. “Hiervoor worden onder coördinatie van BZK kaders en richtlijnen opgesteld, zoals de BIO [Baseline Informatiebeveiliging Overheid, red]. Over de implementatie van de BIO en andere bovenbedoelde richtlijnen rapporteren rijksoverheidsorganisaties aan de departementale CIO’s [Chief Information Officers, red.] en aan de CIO Rijk”, aldus de staatssecretaris.

Kabinet treft aanvullende maatregelen voor verbeteren cybersecuritybeleid

Tot slot verwijst Knops naar het rapport van de Wetenschappelijke Raad voor Regeringsbeleid (WRR) ‘Voorbereiden op digitale ontwrichting’. Daarin staat dat organisaties die tot het domein van de Rijksoverheid behoren dringende beveiligingsadviezen van het Nationaal Cyber Security Centrum (NCSC) opgelegd krijgen. Daarbij wordt het ‘pas toe of leg uit’ principe toegepast. Organisaties die deze adviezen naast zich neerleggen, moeten verantwoording over afleggen waarom deze niet zijn opgevolgd. Tevens maakt de Rijksoverheid een overzicht van alle netwerken en informatiesystemen die bij overheidsinstanties worden gebruikt.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen