29 mogelijke datalekken gemeld na hackpoging Citrix-software

Autoriteit Persoonsgegevens 29 organisaties hebben melding gemaakt van een hackpoging van hun Citrix-software. Een onbekend aantal meldingen werd „uit voorzorg” gedaan.
Het Medisch Centrum Leeuwarden maakte vorige week een hackpoging bekend.
Het Medisch Centrum Leeuwarden maakte vorige week een hackpoging bekend. Foto Anton Kappers/ANP

Bij de Autoriteit Persoonsgegevens (AP) hebben 29 organisaties een mogelijk datalek gemeld na een hackpoging als gevolg van een kwetsbaarheid in hun Citrix-software. Dat bevestigt een woordvoerder van de toezichthouder woensdag na berichtgeving van persbureau ANP. Het AP zegt niet om welke bedrijven het gaat en of er daadwerkelijk data is gestolen.

Een onbekend deel van de meldingen die de AP ontving, werd „uit voorzorg” gedaan, aldus de woordvoerder. Bedrijven moeten ernstige datalekken binnen 72 uur melden. De AP maakt vervolgens onderscheid tussen drie fasen: een hackpoging, een gelukte aanval en daadwerkelijke ontvreemding van persoonsgegevens. In welke fase de meldingen over Citrix vallen, is niet bekend. Verschillende organisaties, waaronder de gemeente Zutphen en het Medisch Centrum Leeuwarden, maakten vorige week een hackpoging openbaar.

Lees ook: Citrix-lek is lastig voor thuiswerkers, maar ‘niet onoverkomelijk’

Veel organisaties, waaronder de Tweede Kamer, zorginstellingen, gemeenten en universiteiten, schakelden vorige week hun Citrix-servers uit, die onder meer worden gebruikt om medewerkers op afstand te laten werken. Dat gebeurde op advies van het Nationaal Cyber Security Centrum (NCSC). Bedrijven die dat niet konden, werden geadviseerd aanvullende veiligheidsmaatregelen te nemen. De fout in de software, waardoor in het ergste geval gijzelsoftware kan worden geplaatst of data kan worden gestolen, kwam op 17 december al aan het licht.

Citrix gaf maandag een eerste software-update vrij waarmee de problemen van ongeveer de helft van de organisaties in Nederland zouden zijn verholpen. Verschillende instellingen, waaronder het Medisch Centrum Leeuwarden, hebben de systemen inmiddels hersteld. Citrix zegt voor het einde van deze week een oplossing te hebben voor de andere organisaties.