Gemeenten schakelen Citrix-systemen uit op advies NCSC

Kwetsbaarheid Maatregelen die het risico op misbruik van een lek in Citrix hadden moeten beperken, werken niet in alle gevallen, waarschuwde het Nationaal Cyber Security Centrum.
Foto van het stadhuis aan de Coolsingel in het centrum van Rotterdam.
Foto van het stadhuis aan de Coolsingel in het centrum van Rotterdam. Foto Robin van Lonkhuijs/ANP

Diverse Nederlandse gemeenten waaronder Rotterdam en Amsterdam hebben uit voorzorg hun Citrix-software uitgeschakeld. Gemeenten volgen daarmee een advies van het Nationaal Cyber Security Centrum (NCSC) op, dat donderdagavond vanwege een kwetsbaarheid adviseerde de systemen uit te schakelen als dat mogelijk was. Als gevolg van het uitschakelen van de software kunnen ambtenaren veelal niet op afstand werken.

Een definitieve oplossing voor de problemen in Citrix is er nog niet, maar in de tussentijd zou volgens het Amerikaanse softwarebedrijf door het aanpassen van enkele instellingen de kans op misbruik van het lek verkleind kunnen worden. Maar dat werkte door een softwarefout echter niet in alle gevallen, waarschuwde het NCSC en Citrix donderdag.

De gemeente Amsterdam heeft Citrix donderdagavond „preventief” uitgeschakeld, bevestigt een woordvoerder desgevraagd. „De enige directe hinder is voor werknemers die van buiten onze kantoren in willen loggen op ons systeem. Daar hebben ze Citrix voor nodig.” De gemeente houdt in de gaten of het netwerk gecompromitteerd is. De gemeente Rotterdam laat weten de afgelopen periode het advies van het NCSC en de leverancier gevolgd te hebben. „Zo ook gisteravond.” Ook Achtkarspelen en Tytsjerksteradiel in Friesland, het Brabantse Goirle en Halderberge en Beek in Limburg hebben de software uit voorzorg gedeactiveerd, meldt persbureau ANP.

De Vereniging van Nederlandse Gemeenten (VNG) raadt gemeenten aan het advies van het NCSC op te volgen, zegt een woordvoerder. „Als je Citrix toch wil gebruiken moet je intensief monitoren op misbruik. Als je niet kan monitoren, dan moet het systeem uit. Gemeenten die ons bellen voor context bij het bericht van het NCSC zetten na ons advies vaak de Citrix-servers uit.”

Lees ook: ‘Maatregelen die lek in Citrix moeten dichten werken niet altijd’

‘Intensief monitoren’

De Citrix-servers van de gemeente Den Haag staan momenteel aan, bevestigt een woordvoerder van de gemeente. Als de systemen vanwege de „grote impact” niet uitgeschakeld kunnen worden, adviseerde het NCSC om „intensief te monitoren op misbruik”. De gemeente Den Haag zegt de situatie „scherp in de gaten” te houden en overweegt Citrix later alsnog uit te zetten.

Hackers speuren actief het internet af op zoek naar kwetsbare Citrix-systemen, waarschuwde het NCSC vorige week. Organisaties die niet voor afgelopen weekend maatregelen namen, zijn waarschijnlijk gecompromitteerd door aanvallers. De gemeente Zutphen en een ziekenhuis in Friesland bevestigden woensdag „een hackpoging” op hun systemen. De hackers maakten waarschijnlijk gebruik van de kwetsbaarheid in het Citrix-systeem. Het onderzoek naar de impact van het lek loopt nog.

De fout in Citrix kwam op 17 december aan het licht en had tot gevolg dat duizenden Citrix-servers wereldwijd kwetsbaar waren voor een hack. In het ergste geval installeren kwaadwillenden gijzelsoftware of ontvreemden ze data. Citrix verwacht op zijn vroegst maandag de eerste update van de kwetsbare software te kunnen verspreiden. Voor het einde van januari wil het bedrijf alle gaten gedicht hebben.