:format(webp)/s3/static.nrc.nl/images/gn4/stripped/data54309610-509b3e.jpg)
Zijn gemeente zou dit keer niet worden geraakt. In die veronderstelling leefde burgemeester Sebastiaan van ’t Erve (GroenLinks) van Lochem toen hij hoorde over onveilige Citrix-verbindingen voor werken op afstand. Op de servers van Lochem draait namelijk geen software van Citrix. Zijn ambtenaren loggen thuis anders in. Een hele opluchting voor een burgemeester wiens gemeente vorig jaar werd gehackt en ternauwernood ontsnapte aan een digitale ramp.
Fout gedacht. Door de problemen met Citrix konden de boekhouders van Lochem begin deze week hun werk niet doen. „Iemand anders werkt met Citrix en daardoor staan wij weer te hozen”, zegt Van ’t Erve maandag op zijn kamer in het gemeentehuis. Hij betwijfelt dan nog of Lochem de begroting voor 2020 op tijd kan aanleveren bij de provincie. „De computerverbindingen in Nederland zijn zo met elkaar verknoopt dat als er ergens een probleem is, andere partijen onherroepelijk de gevolgen merken. Alleen met andere overheden telt Lochem al zo’n tweehonderd koppelingen”, zegt Van ’t Erve.
Wat is het probleem? Automatiseringsbedrijf Centric heeft op verzoek van Lochem de financiële administratie in ‘de cloud’ gezet – op servers buiten het gemeentekantoor. Daar zou de boekhouding goed beveiligd zijn en vanaf iedere plek ter wereld toegankelijk.
:format(webp)/s3/static.nrc.nl/bvhw/files/2020/01/data54146147-93a8e9.jpg)
Nu blijkt dat Centric de toegang tot de cloud via verbindingen van Citrix laat lopen. En daarvan adviseerde het Nationaal Cyber Security Centrum (NCSC) vorige week, mede na „een beveilingsadvies” van inlichtingendienst AIVD, om ze niet meer te gebruiken. De verbinding zou zo onveilig zijn dat hackers zich toegang tot de financiën van Lochem zouden kunnen verschaffen.
Voor Van ’t Erve roept het nare herinneringen op aan donderdagmiddag 6 juni vorig jaar. Het Team High Tech Crime van de politie belde en waarschuwde dat computers van Lochem waren gehackt. De criminelen waren al maanden binnen en stonden nu op het punt bestanden te vergrendelen en losgeld te eisen voor ontsleuteling. De internetverbinding met de buitenwereld werd verbroken om de criminelen de toegang te ontzeggen. Alle gemeentelijke dienstverlening die afhankelijk is van ICT werd stilgelegd om het systeem opnieuw op te bouwen. Paspoorten en rijbewijzen konden niet meer worden verstrekt, geboorte en overlijden niet meer juist geregistreerd.
Door de waarschuwing wist Lochem de hackers op tijd uit het systeem te weren. Na enkele dagen was de gemeente weer in de lucht. „Wij hebben in die afgrond gekeken en het zag er niet fijn uit”, zegt Van ’t Erve. Het kwam niet zo ver dat uitkeringen niet meer konden worden uitbetaald, of huwelijken moesten worden geannuleerd. Maar Van ’t Erve is zich nu extra bewust van de gevolgen die de huidige Citrix-crisis kan hebben. „Hoe weten we dat hackers niet op cruciale plekken zijn binnengedrongen en pas over maanden hun eisen stellen?”
Geschrapte tentamens
Op het eerste gezicht lijken de gevolgen van de problemen met Citrix in Nederland nu mee te vallen. Hogeschool Inholland moest tentamens schrappen, in Den Bosch konden geen rijbewijzen worden verstrekt, de sociale wijkteams in Arnhem konden niet bij hun burgerdossiers en in Dronten kon aan de gemeentebalie niet worden gepind. Vergelijkbare problemen waren er in andere gemeenten, maar grote calamiteiten bleven uit. Ondertussen verklaren woordvoerders opgetogen dat veel systemen na de eerste beveiligingsupdate die Citrix zondag uitbracht weer in de lucht zijn.
Dit optimisme laat zich moeilijk rijmen met de waarschuwing van het NCSC dat organisaties die na 9 januari geen extra veiligheidsmaatregelen troffen hoogstwaarschijnlijk zijn gehackt, omdat de eerste ‘exploitcodes’ op internet beschikbaar waren gemaakt. Zulke scripts automatiseren en vereenvoudigen misbruik van de kwetsbaarheid in Citrix. Hackers waren actief op zoek naar kwetsbare systemen, waarschuwde het NCSC. Zeker zevenhonderd organisaties bleken daarna nog kwetsbaar te zijn. Zij kunnen er „redelijkerwijs van uitgaan” dat de kwetsbaarheid misbruikt is.
Na het AIVD-advies ging minister Ferdinand Grapperhaus (Justitie en Veiligheid, CDA) afgelopen vrijdag in overleg met minister Raymond Knops (Binnenlandse Zaken, CDA). Samen besloten ze dat het NCSC zou adviseren om Citrix-servers in Nederland uit te schakelen. „Een zeer ingrijpende stap”, noemde Grapperhaus dat dinsdag.
Het beveiligingsadvies van de AIVD speelde hierin een doorslaggevende rol. „De nationale veiligheid kan in dit soort situaties altijd een keer in het geding komen. [...] Meer kan ik daar in dit gremium niet over zeggen”, aldus Grapperhaus dinsdag in de Tweede Kamer. Een woordvoerder van de AIVD zegt woensdag dat „statelijke actoren” gebruik maken van het lek in Citrix. Om deze reden „en op basis van recente informatie” heeft de AIVD de Rijksoverheid geadviseerd om Citrix uit te schakelen.
29 meldingen van datalek
Bij de Autoriteit Persoonsgegevens hebben 29 organisaties intussen gemeld dat ze mogelijk een datalek hebben door het beveiligingsgat in Citrix. Dat wil niet zeggen dat ze ook zijn gehackt, of dat gegevens zijn ontvreemd. Instellingen melden ook preventief, zegt een woordvoerder van de toezichthouder.
Organisaties die niet op tijd maatregelen namen, of die zich ten onrechte veilig waanden – door een bug werkte het door Citrix geadviseerde lapmiddel niet altijd –, moeten volgens het NCSC een herstelplan opstellen, en experts de systemen laten onderzoeken op sporen van inbraak. Anders heeft de beschikbaar gekomen beveiligingsupdate weinig zin.
„Het is als veilig vrijen wanneer je al een soa hebt”, zegt Frank Breedijk van het Security Meldpunt, een particulier initiatief dat kwetsbare servers in kaart brengt en eigenaars waarschuwt. Hackers die al in het netwerk zitten, kunnen andere toegangsdeurtjes inbouwen om later te gebruiken wanneer het gat in Citrix is gedicht. Sommigen dichten zelfs het lek, om andere hackers buiten de deur te houden.
Ook veiligheidscertificaten van getroffen organisaties moeten als uitgelekt worden beschouwd. Die worden gebruikt om te verifiëren dat gegevens veilig tussen websitebezoekers en websites worden uitgewisseld. „Binnenkort zullen hackers die certificaten en toegang tot gecompromitteerde netwerken aanbieden op het dark web [ondergrondse deel van het internet]”, voorspelt Breedijk.
Kwestie van tijd
De situatie bewijst weer hoe kwetsbaar Nederland is geworden door vergaande digitalisering. Grapperhaus riep dinsdag in herinnering dat het volgens de Wetenschappelijke Raad voor het Regeringsbeleid niet de vraag is óf Nederland ooit digitaal ontwricht zal raken, maar dat Nederland voorbereid moet zijn áls dat gebeurt. Onder meer met analoge terugvalopties, zoals de mogelijkheid om contant te betalen. Kamerleden pleiten ondertussen voor uitbreiding van het mandaat van het NCSC en een wettelijke verplichting om beveiligingsupdates door te voeren.
De paniek rondom Citrix in het buitenland leek de voorbije dagen een stuk minder dan in Nederland, hoewel nog zeker 14.000 servers wereldwijd kwetsbaar zijn. Enerzijds komt dat volgens onderzoeker Breedijk door het verhoudingsgewijs grote gebruik van Citrix hier. „Nederland heeft het thuiswerken zo’n beetje uitgevonden.” Anderzijds loopt Nederland volgens minister Grapperhaus voorop met de vergaande waarschuwingen van het NCSC. Bevriende naties hebben Nederland volgens de minister gecomplimenteerd met de aanpak.
Die heeft inderdaad effect, ziet Breedijk in de scandata van het Security Meldpunt. Het aantal zwakke servers nam de voorbije weken in Nederland veel sneller af dan vorig jaar, toen een lek werd gevonden in de beveiligde verbindingen van Pulse Secure. Deze woensdagmiddag was het aantal kwetsbare Nederlandse Citrix-servers geslonken tot 29. Breedijk: „Weeskinderen zal je altijd houden.”