Een digitaal beveiligingsprobleem legt de Tweede Kamer, Schiphol, de Gemeente Amsterdam en een reeks andere organisaties plat. Hierdoor kunnen thuiswerkers niet meer thuiswerken en zien we de geboorte van de allereerste ‘Citrix-file’ in Nederland. Martin gaat hier wat dieper op in.

Wat was er aan de hand?

In december dit jaar rapporteert het Nationaal Cyber Security Centrum (NCSC) een veiligheidsrisico in een apparaat dat in verbinding staat met internet en wat toegang kan verschaffen tot een netwerk van een bedrijf. Het maakt deel uit van Citrix, een bedrijf dat hard- en software levert dat werken op afstand mogelijk maakt. Ironisch genoeg is de genoemde hardware juist bedoeld als bescherming tegen ongewilde – digitale – indringers.

Grote schade, hoge kans

Volgens het NCSC betreft het een risico met een hoge schade én een hoge kans (dat er daadwerkelijk schade optreedt). Het hoogst mogelijke dreigingsniveau.

Het veiligheidslek wordt gepubliceerd op een openbare plek waar ook hackers nu gemakkelijk kunnen zien wat de kwetsbaarheid is. Daarmee is het een kwestie van tijd voordat het lek daadwerkelijk gebruikt wordt om toegang te krijgen tot de netwerken van allerlei instanties,  organisaties en bedrijven.

Updaten of patchen is dan de enige mogelijkheid om je te wapenen tegen zo’n aanval.

Work-around

Citrix brengt heel snel een ‘workaround’ uit, waarmee door bepaalde instellingen tijdelijk te gebruiken het gevaar kon worden geweerd. Hierna brengen ze een ‘patch’ uit, waarmee het apparaat kan worden geüpdatet en het veiligheidslek dicht is.

Er is een hele kleine ‘maar’;  er zijn 2 specifieke versies waarbij de workaround niet werkt. Er ontstaat verwarring over de effectiviteit van de workaround en als oplossing werd er door verschillende organisaties voor gekozen om hele omgevingen uit te schakelen.

Waarom kwam het zo in het nieuws?

De belangrijkste reden dat deze beveiligingsissues zo breed werden uitgemeten, is dat het merkbaar was voor een grote groep mensen door de ontstane files. Ook het feit dat de getroffen organisaties bekend zijn bij het grote publiek, maakt het onderwerp nieuwswaardig.

Op een gegeven moment was het echter wel veel in het nieuws. Talloze berichten, mensen en meningen hebben even het nieuws gedomineerd. Terwijl er dagelijks nieuwe beveiligingsrisico’s met een hoge schade én een hoge kans gepubliceerd worden. Die berichten worden geen landelijk nieuws.

Wat ook niet heeft geholpen in de ‘hype’ is een foutje in een interview in het programma Jinek, waarin werd gezegd dat de workaround niet werkte. Dit was onjuist, de workaround werkt(e) wél, maar met uitzondering van twee versies.

Wel of geen tam tam maken over dergelijke lekken?

Je kunt je afvragen of het goed is dat er zo’n tam tam over werd gemaakt. Er zijn betrouwbare security-informatie kanalen waar deze berichten worden gepubliceerd. Iedere professioneel security IT-specialist kent deze kanalen.

Wij gebruiken deze kanalen ook en hadden het lek bij onszelf en bij onze klanten al gedicht, voor één en ander in de media kwam.

Wij werden eerlijk gezegd ook verrast door de berichtgeving in de media en door de vragen die onze klanten daarop stelden. “De Gemeente Amsterdam gaat plat, maar jullie hebben het probleem al onder controle?” Achteraf bezien hadden wij dus misschien beter ook ‘tam tam’ kunnen maken over wat wij al precies hadden gedaan om het lek te dichten.

Het wel of niet berichten van onze klanten is een afweging die wij altijd moeten maken. Wanneer wij ervoor kiezen om niet te informeren, wil dat in ieder geval niet zeggen dat wij niet op de hoogte zijn van bepaalde risico’s. Bij een overload worden deze berichten niet meer gezien. Wij zorgen ervoor dat alle systemen veilig zijn, en informeren alleen als het noodzakelijk is.

Een andere kant van het verhaal is dat een breed publiek zich nu weer even bewust is van de kwetsbaarheid van de systemen in Nederland. Hoe goed we de beveiliging ook op orde hebben, het risico van hacken kan niemand immers uitsluiten.

Hoe weet je nu als organisatie of bedrijf wanneer je het goed doet qua beveiliging?

Als je IT-systeem in basis op orde is, maar je je toch zorgen maakt naar aanleiding van het Citrix beveiligingslek dan bevelen we aan om je IT-partner of specialist in kwestie te vragen naar hoe deze omgaat met berichten uit de verschillende kanalen waarop risico’s worden gepubliceerd.