Citrix-lek is lastig voor thuiswerkers, maar ‘niet onoverkomelijk’

Veel organisaties, waaronder ziekenhuizen, hebben dit weekend vanwege hackrisico’s de mogelijkheid uitgeschakeld om thuis te werken. „De patiëntveiligheid is niet in gevaar.”

Het politiebureau in Dordrecht. De Nederlandse politie werkt met Citrix, maar heeft besloten de servers niet uit te schakelen.
Het politiebureau in Dordrecht. De Nederlandse politie werkt met Citrix, maar heeft besloten de servers niet uit te schakelen. Foto Bas Czerwinski/ANP

Een kwetsbaarheid in de software van het Amerikaanse bedrijf Citrix heeft dit weekend gevolgen voor thuiswerkers in heel Nederland. Na een advies van het Nationaal Cyber Security Centrum (NCSC) op donderdag, gevolgd door een dringend advies op vrijdagavond, hebben zorginstellingen, gemeenten, universiteiten en talloze andere bedrijven en organisaties hun zogeheten Citrix-servers uitgeschakeld.

De software wordt door honderden organisaties in Nederland gebruikt voor werken op afstand. Vanwege zwakke plekken in de beveiliging kunnen hackers in minder dan een minuut toegang krijgen tot het interne netwerk. Uit voorzorg adviseert het NCSC daarom om thuiswerksystemen uit te zetten en, als dat niet kan, aanvullende veiligheidsmaatregelen te nemen.

Onder meer Schiphol, de Tweede Kamer, het Universitair Medisch Centrum Amsterdam, Hogeschool InHolland, de Universiteit Leiden en tientallen Nederlandse gemeenten hebben bevestigd dat medewerkers door de maatregelen niet thuis kunnen werken. Zaterdag hebben volgens persbureau ANP ook meerdere ministeries Citrix uitgeschakeld. Het gaat onder meer om Buitenlandse Zaken, Justitie en Veiligheid, en Infrastructuur en Waterstaat.

Citrix verwacht op zijn vroegst maandag met een definitieve oplossing voor het probleem te komen. Het bedrijf adviseert klanten om ondertussen aanvullende veiligheidsmaatregelen te treffen en zegt dat de software na die maatregelen veilig is in gebruik.

Het is opvallend dat het NCSC strenger adviseert dan Citrix zelf. Dat gebeurt op basis van „een beveiligingsadvies van de AIVD” , laat een woordvoerder weten. Zusterorganisaties in het buitenland zijn minder streng. Die maken „hun eigen afweging”, aldus de woordvoerder.

Niet onoverkomelijk

Voor een organisatie als het UMC-ziekenhuis in Amsterdam zijn de maatregelen lastig, maar niet onoverkomelijk, zegt een woordvoerder. „Het is moeilijker om specialisten die thuis zitten in te schakelen voor advies.” Daar houdt het ziekenhuis rekening mee in de bezetting. „De patiëntveiligheid is niet in gevaar.” De woordvoerder benadrukt dat e-mailverkeer wel werkt en dat specialisten die niet in het ziekenhuis zijn ook telefonisch benaderd kunnen worden. Patiënten kunnen gewoon nog inloggen op hun patiëntendossier.

Lees ook: Gemeenten schakelen Citrix-systemen uit op advies NCSC

Eerder deze week werden er, via de kwetsbaarheid in de Citrix-software, hackpogingen gedaan bij het Medisch Centrum Leeuwarden en het Amphia Ziekenhuis in Breda. Waarnemers zien dat hackers over de hele wereld via de Citrix-kwetsbaarheid proberen om in te breken in systemen. Ze kunnen gevoelige data buitmaken of servers infecteren met ransomware, software die het hele systeem platlegt en door de aanvallers verwijderd wordt na het betalen van losgeld. Vorige maand werd de Universiteit Maastricht slachtoffer van een aanval met ransomware.

Politie

Voor een aantal organisaties betekent het uitschakelen van de software dat belangrijke taken niet uitgevoerd kunnen worden. Deze organisaties zullen zelf moeten beoordelen of Citrix kan blijven draaien met aanvullende veiligheidsmaatregelen, zegt het NCSC.

De Nederlandse politie werkt met Citrix, maar heeft besloten de servers niet uit te schakelen. Er zijn „aanvullende maatregelen” getroffen om hackers buiten de deur te houden, zegt een woordvoerder. De politie staat „in nauw contact met het NCSC” en onderzoekt welke impact het op het politiewerk heeft om de servers toch uit te schakelen.

Ook financiële instellingen werken veel met Citrix. Een woordvoerder van ABN Amro wil uit veiligheidsoverwegingen niet bevestigen of dat ook voor de bank geldt. Wel zegt hij dat ABN Amro, net als andere financiële instellingen, „continu bezig [is] met dreigingen van buitenaf” . De woordvoerder: „We zijn goed geëquipeerd om aanvallen tegen te gaan, ook de afgelopen weken waren we daarin efficiënt”. Werknemers van ABN Amro kunnen gewoon nog inloggen op het systeem vanaf externe locaties.

Volgens Beveiligingsbedrijf Positive Technologies, dat de kwetsbaarheid in december ontdekte, lopen zeker tachtigduizend bedrijven in 158 landen het risico om gehackt te worden. De ontdekking betekent een deuk in de reputatie van Citrix, zegt hoogleraar informatica Stef Joosten van de Open Universiteit. „Citrix is populair bij organisaties waarvoor beveiliging belangrijk is, zoals financiële instellingen en justitie.” Het concern werd vorig jaar getroffen door Iraanse hackers, die toen mogelijk grote hoeveelheden bedrijfsdocumenten buit hebben gemaakt.