De Onderzoeksraad voor Veiligheid stelt een onderzoek in naar het beveiligingslek in de software van Citrix dat in december 2019 optrad. Het bestuursorgaan richt het vizier op de aanpak in de maanden na de ontdekking van het lek.
De Raad zal daarbij bijzondere aandacht geven aan het beleid omtrent de digitale veiligheid. De onderzoekers gaan na welke publieke en private partijen welke verantwoordelijkheden en bevoegdheden hebben om de digitale veiligheid te borgen en hoe deze zijn ingezet om de gevolgen van het lek te beperken. Het doel van het onderzoek is het vergroten van de digitale veiligheid in Nederland.
Schijnveiligheid
Eind 2019 werd bekend dat de veiligheid van Citrix ADC en de Citrix Gateway-servers te wensen overliet. Volgens cijfers van securitybedrijf Bad Packets waren destijds 713 Nederlandse bedrijven kwetsbaar voor hacks. Het Nationaal Cyber Security Centrum (NCSC) betitelde de situatie als ‘zeer ernstig’ en riep gebruikers op de patches, die de Amerikaanse leverancier uitrolde, per direct te installeren om zo potentieel misbruik te voorkomen.
Bedrijven die later de patches gebruikten om het probleem te verhelpen, waanden zich vaak echter onterecht veilig. Hackers hadden het Citrix-lek namelijk al gebruikt om een bestand achter te laten waarmee ze altijd toegang hebben, aldus cybersecurityspecialisten.
Het NCSC, dat valt onder het ministerie van Justitie, waarschuwde deze week nog voor de grote gevolgen die kwetsbaarheden in computersystemen kunnen hebben als er geen analoge terugvalopties zijn. ‘Onze maatschappij is in grote mate afhankelijk van digitale processen en analoge terugvalopties zijn niet altijd voorhanden. Door de situatie die is ontstaan door het coronavirus, waarbij veel meer via digitale middelen wordt gedaan, zijn we alleen maar afhankelijker geworden’, waarschuwt het centrum. Critici stellen echter dat het NCSC weinig handvatten heeft, omdat het bedrijven niets kan verplichten. Minister Ferd Grapperhaus van Justitie zei in dit kader eerder tegen Nieuwsuur dat hij daarom van plan is het NCSC meer mogelijkheden te geven om in te grijpen als vitale organisaties hun digitale beveiliging niet op orde hebben.
De NCSC wordt overigens ook meegenomen in het onderzoek van de OVV, waarbij gekeken wordt wat dit centrum, samen met andere betrokken partijen, heeft gedaan om de gevolgen van het Citrix-lek in de dammen.
Fox-IT: zeker 25 organisaties alsnog gehackt
Cyberbeveiliger Fox-IT kwam gisteren zelf met een rapport waaruit blijkt dat zeker 25 Nederlandse organisaties, door actief misbruik van het Citrix-lek door criminele hackers en spionagegroepen, slachtoffer zijn geworden van een cyberaanval. Uit het onderzoek van Fox-IT, opgetekend door de Volkskrant, blijkt dat de hackers toegang hebben tot het interne netwerk van onder meer om een bedrijf dat watermerken maakt voor bankbiljetten, een farmaceutisch bedrijf en een organisatie voor gehandicaptenzorg. Opvallend is dat deze organisaties het betreffende lek hadden gedicht, maar toch zijn gehackt.
