De Onderzoeksraad voor Veiligheid (OVV) start een onderzoek naar het beveiligingslek in de software van Citrix. Eind vorig jaar kwam het lek aan het licht. Honderden en mogelijk zelfs duizenden organisaties werden erdoor getroffen, waaronder partijen die gevoelige, vitale processen beheren.
De OVV zal met name kijken naar de aanpak in de maanden na de ontdekking van het beveiligingslek. Vandaag kwam beveiligingsbedrijf Fox-IT met een rapport waarin staat dat nadat de problemen bij Citrix bekend werden, alsnog zeker 39 servers via het lek gehackt zijn door criminelen en spionnen.
Chantage en spionage
Citrix wordt gebruikt om op afstand verbinding te maken met interne systemen van organisaties, bijvoorbeeld om thuis te kunnen werken. Toen het lek bekend werd, besloten veel gebruikers die met gevoelige informatie werken om het hele systeem af te sluiten.
Bedrijven die later zogeheten 'patches' gebruikten om het probleem te verhelpen, waanden zich onterecht veilig. Hackers hadden het Citrix-lek al gebruikt om een bestand achter te laten waarmee ze altijd toegang hebben."De patches leverden alleen maar schijnveiligheid op", zegt Fox-IT onderzoeksleider Frank Groenewegen.
Hackers konden de ingangen in computersystemen misbruiken om bijvoorbeeld netwerken van organisaties over te nemen, te gijzelen en vervolgens losgeld te eisen. En eerder concludeerden de inlichtingendiensten al dat een staat het Citrix-lek misbruikte voor spionage.
Het Nationaal Cyber Security Centrum (NCSC), dat valt onder het ministerie van Justitie, waarschuwde deze week nog voor de grote gevolgen die kwetsbaarheden in computersystemen kunnen hebben als er geen analoge terugvalopties zijn. Zeker als netwerken van 'vitale' organisaties zoals nutsbedrijven en ziekenhuizen worden geraakt.
'Cyberwaakhond zonder tanden'
Het NCSC waarschuwt bedrijven daarom de beveiliging op orde te houden. Maar critici wijzen ook op de rol van de NCSC zelf, dat namens de overheid toezicht houdt op de digitale veiligheid. "Het is de cyberwaakhond van Nederland, maar een met te weinig tanden", zegt Kamerlid Kees Verhoeven (D66). "De NCSC kan te weinig tegen bedrijven zeggen: jullie moeten dat gat dichten, jullie moeten in actie komen."
Groenewegen: "Ik zou ervoor pleiten dat de NCSC een prominentere rol pakt en actief gaat scannen op kwetsbaarheden."
Minister Ferd Grapperhaus van Justitie zegt tegen Nieuwsuur dat hij van plan is het NCSC meer mogelijkheden te geven om in te grijpen als vitale organisaties hun digitale beveiliging niet op orde hebben. De minister overweegt uit te breiden wat onder 'vitaal' valt, met bijvoorbeeld ziekenhuizen.
De OVV kijkt in zijn onderzoek wat welke partijen, waaronder het NCSC, precies hebben gedaan om de gevolgen van het Citrix-lek in te dammen. Met het onderzoek wil de Raad de digitale veiligheid vergroten.