Nog zeventig Nederlandse Citrix-systemen kwetsbaar

Digitale veiligheid Sommige organisaties lijken doof voor waarschuwingen over Citrix. Maar het veilig houden van systemen is moeilijker dan het lijkt.

Ruim anderhalve maand na de eerste waarschuwingen draaien er nog tientallen servers op potentieel riskante software van Citrix.
Ruim anderhalve maand na de eerste waarschuwingen draaien er nog tientallen servers op potentieel riskante software van Citrix. Foto Rob Engelaar

Ondanks adviezen, waarschuwingen en media-aandacht lopen nog zeker zeventig Citrix-servers in Nederland risico gehackt te worden. „Deze servers zijn nog volledig kwetsbaar en de beheerders hebben zelfs geen mitigerende maatregelen toegepast”, zegt Frank Breedijk, initiatiefnemer van het Nederlands Security Meldpunt en hoofd informatieveiligheid bij IT-bedrijf Schuberg Philis.

De problemen met de Amerikaanse software, populair onder Nederlandse bedrijven om werknemers te laten thuiswerken, kwamen 17 december aan het licht. Het aantal kwetsbare servers dat het meldpunt in scandata aantrof, daalde aanvankelijk snel, maar vlakt nu af. Breedijk: „Er zijn organisaties die alle waarschuwingen niet lijken te horen.”

De zeventig verantwoordelijke organisaties hebben hun Citrix-servers niet bijgewerkt en geen maatregelen genomen die de kans op misbruik verkleinen. Daarmee negeren ze adviezen van zowel de softwarefabrikant als de Nederlandse overheid – het oudste dateert van anderhalve maand geleden. Organisaties die geen maatregelen hebben getroffen, zijn zeer waarschijnlijk getroffen door een hack, waarschuwde het Nationaal Cyber Security Centrum (NCSC) eerder. Hackers kunnen in het ergste geval het netwerk overnemen en bijvoorbeeld gijzelsoftware installeren.

De oplossing voor de problemen – kwetsbare systemen bijwerken (‘patchen’) zodra dat kan – lijkt simpel, maar is dat niet, zegt Breedijk. Hij vergelijkt het met de terugroepactie van fipronileieren. Dat is makkelijk voor consumenten: die lopen naar de koelkast, kijken of serienummers van eieren overeenkomen met de waarschuwing en gooien besmette eieren weg.

„Maar in een grote zorginstelling weet een IT-afdeling soms niet eens waar alle koelkasten staan en waar de eieren vandaan komen.” Schaduw-IT is een deel van het probleem. Medewerkers installeren dan software zonder medeweten van netwerkbeheerders. „Het is daarom niet eenvoudig om altijd te weten waar welke software draait, en wie daar verantwoordelijk voor is,” zegt Breedijk.

Het is niet het enige obstakel. Sommige veiligheidsupdates kunnen alleen geïnstalleerd worden als systemen uitgezet zijn. Organisaties van die noodzaak overtuigen is – zeker in drukke periodes – niet altijd eenvoudig. Systeembeheerders zijn verantwoordelijk voor patchen – maar er is niet één schuldige aan te wijzen, zegt Breedijk. „We moeten hier uiteindelijk allemaal beter in worden.”

Lees ook Na de hack zou de Citrix-crisis aan Lochem voorbij gaan. Fout gedacht

Breedijk pleit voor een organisatie die kwetsbare bedrijven informeert bij een ernstige bedreiging van hun digitale veiligheid. Een dergelijke organisatie die het Nederlandse internet afspeurt naar kwetsbare apparatuur bestond voor het oprichten van het Security Meldpunt niet, zegt Breedijk, al wekt het Nationaal Cyber Security Centrum volgens hem wel die indruk. „Het NCSC is wel meer gaan doen, maar eigenlijk werken ze alleen voor hun doelgroep, voornamelijk de rijksoverheid en de vitale sector. Het beeld dat mensen bij hun mandaat hebben klopt niet.”

Bijzondere status van ministerie

Ook Tweede Kamerlid Kees Verhoeven (D66) pleitte bij minister Ferdinand Grapperhaus (Justitie en Veiligheid, CDA) voor meer bevoegdheden voor het NCSC in de toekomst. Het cybersecuritycentrum zelf zit niet stil. Het wil nauwer samenwerken met IT-beveiligers op sectorniveau om een landelijk dekkend systeem van samenwerking en informatie-uitwisseling te creëren.

Eind januari kregen de eerste vier computercrisisteams – van de zorgsector, gemeenten, onderwijs- en onderzoeksinstellingen en de waterschappen – een bijzondere status van het ministerie van Justitie en Veiligheid, waardoor ze meer informatie van het NCSC kunnen krijgen. De sectoren blijven verantwoordelijk voor hun eigen digitale veiligheid en moeten zelf branchegenoten informeren over kwetsbaarheden.

Breedijk vraagt zich af of de landelijke dekking snel genoeg bereikt kan worden en of de samenwerking in de praktijk zal werken. „Je moet een partij hebben die alle bedrijven met serieuze cybersecurityproblemen informeert, ongeacht waar ze aangesloten zijn. Dat is de rol die wij met Nederlands Security Meldpunt dan maar op ons hebben genomen.” Breedijk heeft niet de illusie dat het meldpunt het hele internet veilig gaat maken. „Dit is de eerste stap, dat organisaties op de hoogte zijn dat ze iets moeten doen.”