Nieuwsuur
NOS Helen Kret

Het Amerikaanse softwarebedrijf Citrix noemt de acties die het ondernam nadat er een lek in de eigen software was ontdekt "niet heel bijzonder". Tegen Nieuwsuur zegt het bedrijf de gebruikelijke procedure te hebben gevolgd.

"In 2019 alleen waren er meer dan 17.000 security alerts wereldwijd", zegt Jeroen van Rotterdam, een Nederlandse topman bij het bedrijf. "Dit is een standaardprocedure die gevolgd wordt in de industrie."

'We handelden zeer snel'

Met software van het Amerikaanse bedrijf Citrix kun je via een beveiligde verbinding op afstand inloggen op computersystemen, bijvoorbeeld om vanuit huis te werken. Op 6 december hoorde Citrix van een onderzoeker dat het bedrijf kampte met een beveiligingslek, waardoor hackers in potentie vrij spel hadden in computersystemen van bedrijven die van Citrix gebruikmaken.

"Op 17 december, na elf dagen, hebben we een tijdelijke oplossing uitgebracht met een security alert. Dat is zeer snel", zegt Van Rotterdam. "In die zin volgen wij de procedure om onze klanten zo snel mogelijk te waarschuwen voor dit lek en hen te helpen dit te verhelpen."

De tijdelijke oplossing is volgens Van Rotterdam "absoluut" voldoende. Desondanks werkt Citrix nog aan een permanente oplossing én deed het Nationaal Cyber Security Centrum (NCSC) gisteren een dringende oproep aan de Rijksoverheid en andere vitale organisaties om Citrix uit te schakelen. Van Rotterdam noemt dit "een zeer defensieve actie" van het NCSC, maar wel een terechte. "Het is een extreme situatie."

Kwaadwillenden konden probleem achterhalen

Cybersecurity-expert Ronald Prins noemt het "wel degelijk bijzonder" hoe Citrix handelde na het lek. "Normaal wordt met de onderzoeker die het lek heeft ontdekt afgesproken om het lek pas bekend te maken als er een goede oplossing is. Maar Citrix heeft nu snel een halve oplossing gemaakt en die naar buiten gebracht. Daarmee is in het nieuws gekomen dat er een groot probleem was en konden onderzoekers en kwaadwillenden achterhalen wat precies dit grote probleem is."

Het had inderdaad gevolgen. Op 9 januari werd er een zogenoemde exploit gepubliceerd, zegt Ralph Moonen, technisch directeur bij beveiligingsbedrijf Secura. "Dat is een klein stukje software waarmee iedereen dat lek van Citrix kon uitbuiten. Je hebt er vrijwel geen technische kennis meer voor nodig." Verschillende organisaties werden daadwerkelijk gehackt.

Moonen deed die dag een scan en concludeerde dat zo'n 700 computersystemen waar Citrix op draait voor hackers toegankelijk waren. Vandaag deed hij een nieuwe scan, en telde hij er nog veertig. Hij denkt dat veel bedrijven ook daadwerkelijk gehackt zijn. "Als je een dag of twee dagen na de exploit niet gepatcht hebt, mag je er vrij zeker van zijn dat je gehackt bent."

Prins: "Het was beter geweest als Citrix aanvankelijk niks gezegd had en pas later met al hun patches (updates, red.) waren gekomen, wat normaal is in de industrie."

Wel gaat Prins ervan uit dat de update van maandag voldoende zal zijn. "Citrix kan zich geen onzin veroorloven."

STER reclame