Tijdens het Algemeen Overleg over digitalisering stelde CDA-Kamerlid Chris van Dam de vraag of de overheid het Citrix-lek ‘in control’ heeft. Staatssecretaris Raymond Knops van Binnenlandse Zaken en Koninkrijksrelaties reageert nu op de vragen van het Kamerlid. In een brief aan de Tweede Kamer schrijft de bewindsman dat, voor zover bij hem bekend is, het probleem nu helemaal onder controle is.
Dat schrijft Knops aan de Tweede Kamer.
Dit is het Citrix-lek in een notendop
Citrix is een softwareleverancier waarmee klanten op een veilige en verantwoorde manier op afstand kunnen inloggen op hun bedrijfsnetwerk en servers. Duizenden bedrijven wereldwijd maken gebruik van de diensten van het bedrijf om op afstand te kunnen werken. Zeker nu het coronavirus de gemoederen dagelijks bezighoudt, is het belangrijker dan ooit dat de software goed en naar behoren werkt.
Maar zo en dan gaat het mis. Eind vorig jaar maakte Citrix bekend dat er een beveiligingslek in de software van het bedrijf zat. Daarmee was het mogelijk om op afstand de controle over te nemen van Citrix-systemen. En dus binnen te dringen op de netwerken en servers van klanten die gebruikmaken van de software van Citrix. Dit wordt ook wel remote code execution genoemd.
Begin dit jaar kwam Citrix met een oplossing om haar systemen en die van haar klanten te beschermen. Om het beveiligingslek te dichten, moesten bedrijven zelf actie ondernemen. Vele hebben dat gedaan, maar sommige hebben dit nagelaten. Daardoor bleven hun netwerken gevoelig voor binnendringers. Vele bedrijven waren de afgelopen maanden dan ook het haasje. Eén van hen was het Medisch Centrum Leeuwarden, waar hackers (zonder succes) probeerden patiëntgegevens buit te maken.
‘Citrix-lek wordt volop misbruikt’
Het beveiligingslek bij Citrix is op papier weliswaar verholpen, maar de praktijk is een stuk weerbarstiger. Begin juli ontdekte beveiligingsbedrijf Fox-IT dat het lek nog altijd actief werd misbruikt. Wereldwijd waren er toen ruim 3.300 servers gehackt.
Volgens De Volkskrant hadden hackers op dat moment toegang tot het interne netwerk van minimaal 25 Nederlandse bedrijven. En niet zomaar bedrijven: naar verluidt ging het om een bedrijf dat watermerken maakt voor bankbiljetten, een farmaceutisch bedrijf en een organisatie voor de gehandicaptenzorg.
De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) waarschuwde voor het veiligheidslek bij Citrix. Volgens hem toont het aan dat overheidsorganisaties en bedrijven niet altijd goed beschermd zijn tegen cyberaanvallen, met mogelijk maatschappij-ontwrichtende consequenties tot gevolg. Zijn oplossing: meer investeren in digitale beveiliging en weerbaarheid.
‘Rijksoverheidsorganisaties zijn helemaal in control’
Voor Chris van Dam van het CDA was het Citrix-lek reden om kritische vragen te stellen bij het Algemeen Overleg over digitalisering. Hij vroeg zich af het gevaar geweken was en de overheid nu ‘helemaal in control’ was.
Maandag kwam staatssecretaris Knops van Binnenlandse Zaken en Koninkrijksrelaties met het antwoord op deze prangende vraag. In een brief aan de Tweede Kamer schrijft hij het volgende: “Op basis van de mij nu bekende informatie zijn Rijksoverheidsorganisaties in control naar aanleiding van het Citrix-incident waar de Volkskrant op 1 juli over berichtte.”
Knops benadrukt dat ieder departement zelf verantwoordelijks is voor het op orde hebben van zijn eigen informatiebeveiliging. “Hiervoor worden onder coördinatie van BZK kaders en richtlijnen opgesteld, zoals de BIO [Baseline Informatiebeveiliging Overheid, red]. Over de implementatie van de BIO en andere bovenbedoelde richtlijnen rapporteren rijksoverheidsorganisaties aan de departementale CIO’s [Chief Information Officers, red.] en aan de CIO Rijk”, aldus de staatssecretaris.
Kabinet treft aanvullende maatregelen voor verbeteren cybersecuritybeleid
Tot slot verwijst Knops naar het rapport van de Wetenschappelijke Raad voor Regeringsbeleid (WRR) ‘Voorbereiden op digitale ontwrichting’. Daarin staat dat organisaties die tot het domein van de Rijksoverheid behoren dringende beveiligingsadviezen van het Nationaal Cyber Security Centrum (NCSC) opgelegd krijgen. Daarbij wordt het ‘pas toe of leg uit’ principe toegepast. Organisaties die deze adviezen naast zich neerleggen, moeten verantwoording over afleggen waarom deze niet zijn opgevolgd. Tevens maakt de Rijksoverheid een overzicht van alle netwerken en informatiesystemen die bij overheidsinstanties worden gebruikt.
Mis niets! Meld je aan voor onze nieuwsbrief
Altijd op de hoogte van het laatste nieuws, acties en reviews.
Wij respecteren je privacy. Je informatie is veilig en je kunt je altijd gemakkelijk afmelden.
Anton Mous
Privacy en securityredacteur
Politicoloog, historicus, webredacteur, copywriter: Anton is van vele markten thuis. Hij zet zijn schrijftalenten in voor VPNgids.nl om lezers op de hoogte te brengen van de laatste ontwikkelingen op het gebied van cybersecurity en privacy.
Meer artikelen uit de sectie Nieuws
Formule 1 GP van Oostenrijk 2024 gratis kijken
28 juni 2024
TT Assen 2024 live kijken: gratis MotoGP livestreams
28 juni 2024
Kijk World Cup of Darts 2024 live, overal vandaan
27 juni 2024
