Minister De Jonge van Volksgezondheid kreeg kamervragen van het CDA en SP over de aanvallen op de Citrix-servers van het Medisch Centrum Leeuwarden. Door de aanval werd besloten het ziekenhuis van de virtuele buitenwereld af te sluiten. Volgens het ziekenhuis zijn er geen gegevens buitgemaakt, maar toch wordt dit ineens een landelijk debat. Goed, of een beetje overdreven?
Eerder deze week werd bekend dat er een kwetsbaarheid in bepaalde Citrix-software zat en vermoedelijk had deze aanval op het ziekenhuis dan ook specifiek daarmee te maken. Citrix komt volgende week met een patch en in de tussentijd heeft het bedrijf een website opgezet om organisaties die van hun diensten gebruik maken van passende informatie te voorzien.
Van den Berg, CDA-kamerlid, wil nu graag weten of er andere ziekenhuizen Citrix-servers gebruiken en of daar inbraakpogingen gedaan zijn. Het SP-kamerlid Hijink wil weten welke ziekenhuizen nog niet bij Z-Cert zijn aangesloten en waarom Z-Cert geen bericht op zijn site heeft staan met betrekking tot de risico’s van het werken met Citrix.
Je zou denken: inmiddels is wel bekend hoe het zit met veiligheid, patiëntengegevens en al dat soort zaken. Zelfs als het misgaat, niet dat het de bedoeling is natuurlijk, zelfs dan is al bijna veertig jaar bekend dat computers en netwerken aangevallen kunnen worden.
Met andere woorden: is dit een landelijke kwestie of worden hier mensen aan het werk gehouden op het ministerie over zaken waar ze geen fluit mee te maken hebben, wat denkt u?
Rob Koelmans,
De overtuiging voor Citrix eind jaren 90 was nogal duidelijk, NT-4 Terminal Server mistte nog een groot aantal beheer(s)mogelijkheden welke de toenmalige MetaFrame wel had. Het principe van de multi-user omgeving voor een single-user applicatie gaat niet alleen om het toegangsprotocol. Middels het Terminal Server concept werd het vooral mogelijk om legacy in het applicatie portfolio achter een gateway te schuiven zodat gebruikers device- en plaatsonafhankelijk konden werken via een thin client zonder aanpassingen in het applicatie portfolio met als gevolg veel achterstallig onderhoud.
Nadeel van dit concept is dat als je gateway de strategische component in je architectuur wordt en je hierin een grote afhankelijkheid hebt van de leverancier aangaande patches dan loop je – zoals ik 24 september 2014 al voorspelde in een opinie – een risico aangaande je bedrijfcontinuïteit als je geen plan B hebt. Of zoals ik het toen zei:
‘If a country loses data sovereignty (in exchange for #Microsoft patches), they also lose political sovereignty and security’ – Caspar Bowden
@OudLid, citaat: “Het principe van de multi-user omgeving voor een single-user applicatie gaat niet alleen om het toegangsprotocol.”
Jawel, hoor. Het ging wel alleen maar om het toegangsprotocol. Ik heb meerdere keren discussies met pakketleveranciers van klanten kunnen beslechten door op een nt-werkplek of -server ingelogd te staan op twee of meer gebruikers-profielen (waarbij je dan zonder afmelden van de ene user-sessie naar de andere sprong) en waarbij hun data even corrupt ging als met terminal sessies. Dan vroeg ik hoe ze dat dan met Citrix dachten te gaan oplossen. Dit viel eventueel wel met applicatie-virtualisatie op te lossen maar dat was er toen nog niet. In één geval werd het een applicatieontwikkelaar ineens duidelijk hoe een aantal nooit opgeloste problemen in het verleden ontstaan kon zijn. Zonder die lakmoesproef waren meerdere klanten alsnog naar Citrix-investeringen gegaan.
Rob,
Het springen tussen de verschillende sessies zonder afmelden gaf vooral problemen met het profiel en ik denk dat die applicatieontwikkelaar waarover je het hebt dat uiteindelijk ook door had.
Problemen met het profiel? Ik ben je kwijt, OudLid.
Rob,
Het laden/ontladen van het gebruikersprofiel (NTuser.dat) leverde dus de problemen op die jij beschrijft. Na 20 jaar kijken we nog altijd tegen deze problematiek aan hoewel toevoeging van SSD hierin deels een oplossing biedt. Het principe van de gebruiker naar de data toebrengen middels een terminal server concept of data naar de gebruiker brengen kent een duidelijke verschuiving in het informatiebeheer dus ook al zie jij de voordelen van terminal services niet, ze zijn er wel.
@Oudlid: het laden/ontladen van het profiel werkte feilloos. Veel applicaties hadden alleen user-sessie specifieke opslag niet geïsoleerd binnen het user profiel. Dat kwam allemaal zo van Window98 en eerder af, was wel user-sessie specifiek maar zat zonder onderscheid in globale (programma)folders.
Waarom geen vpn tunnel gebruiken voor dat er op de Citrix omgeving wordt ingelogd. In combinatie met Two factor authentication. Zodat op deze manier de lek niet is blootgesteld aan de WAN kant.
En of bepaalde reeks IP adressen van bepaalde Risico landen tevens blokkeren op
de firewall zodat je de risico’s inperkt.
Verder geen idee of er intrusion detection systemen worden gebruikt.
Bijvoorbeeld https://nl.wikipedia.org/wiki/Snort
of op logbestand niveau ”fail2ban”
https://www.fail2ban.org/wiki/index.php/Screenshots
http://blog.ckzone.eu/2017/01/fail2ban-action-for-citrix-netscaler.html
Geen idee hoe hier mee wordt omgegaan m.b.t. toegang security strategie e.d. Ik heb soms ook het idee dat er binnen de ICT bepaalde prioriteit stellingen niet door de juiste
discipline wordt uitgevoerd. En bedrijfsprocessen soms niet helder zijn. Waardoor
wederom grote risico’s kunnen ontstaan.
Ook vaker het budget onderbezetting personeel zijn veiligheids- risico geworden.
Alles moet sneller waardoor kwaliteit soms kwantiteit wordt. Met grote gevolgen van dien.
Zie alle meldingen op https://www.security.nl/ Schrikbarend.
Als ander voorbeeld de Boeing 737 max,
“Kostenbesparingen waren uiterst belangrijk bij de productie van de 737 MAX. Elke afdeling moest een bepaalde hoeveelheid geld uit het vliegtuig halen. Wanneer tijdsdruk wordt uitgeoefend om kosten uit het vliegtuig te halen en er gebrek is aan middelen om dat werk echt goed te doen, kan dat de veiligheid hebben beïnvloed”, aldus Dickson, die bijna 30 jaar als technisch manager bij het bedrijf werkte.