Cybersecurity

Citrix-lek belemmert thuiswerken; dat wordt inschikken op kantoor

Beeld AP

Door een ernstig beveiligingslek kunnen duizenden mensen maandag de werkweek niet thuiswerkend beginnen.  

Wanneer maandagochtend de werkweek begint, kunnen ambtenaren van tientallen gemeenten en medewerkers van Schiphol, zorg- en onderwijsinstellingen en de Tweede Kamer niet meer thuiswerken. Ook zijn er gemeenten waar burgers geen crematies of begrafenissen kunnen regelen en kunnen bij de provincie Gelderland voorlopig geen subsidies worden aangevraagd of digitale formulieren worden ingevuld. 

Boosdoener is Citrix, Amerikaanse software die het onder meer mogelijk maakt vanuit huis in te loggen op systemen van een bedrijf of organisatie. In de software zit een zeer ernstig beveiligingslek, waardoor kwaadwillenden door de digitale deur kunnen wandelen en alles kunnen doen waarin ze zin hebben. Zo is het mogelijk informatie te stelen of gijzelsoftware te installeren. Gijzelsoftware wordt gebruikt door criminelen om informatie te vergrendelen. Die wordt pas ontgrendeld als de persoon of organisaties van wie de informatie is, losgeld betaalt. 

Het duurt nog even 

Het beveiligingslek is sinds half december bekend, het Nationaal Cyber Security Centrum (NCSC) waarschuwde vrijdagavond om elf uur organisaties hun systemen uit te schakelen, tenzij het echt niet anders kan. Zelfs aan organisaties die hun primaire taak niet meer kunnen uitvoeren als ze de servers uitschakelen, geeft het NCSC het advies heel goed te wegen of de continuïteit van het werk belangrijker is dan de eventuele schade die kan ontstaan als iemand door de digitale deur loopt.

Citrix laat in een verklaring op de website weten dat het werkt aan een permanente oplossing voor het probleem, die zou vanaf maandag beschikbaar moeten zijn. Dat betekent echter niet dat vanaf dat moment alle systemen weer veilig zijn. Het duurt even voor alle organisaties wereldwijd van de oplossing gebruik kunnen maken.

Flexplekken

Wat er gebeurt als alle thuiswerkende mensen maandagochtend ineens naar kantoor gaan, wordt nog spannend. Veel organisaties hebben flexplekken en bijvoorbeeld bij de gemeente Rotterdam zullen mensen een beetje moeten ‘indikken’, aldus een woordvoerder. Ook is aan mensen gevraagd om zo veel mogelijk eigen laptops mee te nemen, de gemeente zorgt voor extra netwerkkabels. Rijkswaterstaat verwacht voor maandag nog geen extra drukke spits.

De NCSC waarschuwde iets meer dan een week geleden voor het eerst voor het beveiligingslek, maar zei toen nog dat organisaties aanvullende maatregelen moesten nemen om te voorkomen dat kwaadwillenden de systemen in konden komen. Afgelopen dinsdag volgde de update dat veel Nederlandse servers kwetsbaar zijn voor aanvallen. Waarom vrijdagavond besloten is organisaties met klem te verzoeken de Citrix-systemen helemaal uit te zetten, is niet duidelijk. Een woordvoerder van de NCSC is op dit moment niet bereikbaar. 

Poging tot digitale inbraak 

Hoewel nu vooral overheids- en onderwijsinstellingen laten weten Citrix uit te schakelen, zijn er volgens het Britse cybersecuritybedrijf Positive Technologies dat het probleem op 17 december ontdekte, alleen al in Nederland ruim 3.700 organisaties kwetsbaar voor het beveiligingsprobleem in de software. Wereldwijd zou het gaan om 80.000 organisaties in 158 landen. 

In Nederland is in ieder geval het Medisch Centrum Leeuwarden slachtoffer geworden van een poging tot digitale inbraak. Volgens het ziekenhuis wist een hacker voorbij de voordeur te komen, maar werd die gestopt voordat hij bij patiëntgegevens kon komen. Vanwege de mogelijke hack besloot het ziekenhuis begin deze week al om al het dataverkeer met de buitenwereld af te sluiten. Patiënten kunnen niet bij hun medische dossiers, er is geen uitwisseling met andere ziekenhuizen mogelijk en medewerkers kunnen niet vanuit huis werken.

Ook bij de gemeenten Zutphen en Leeuwarden is getracht misbruik te maken van het beveiligingslek.

Lees ook:

Ziekenhuis in Leeuwarden legt dataverkeer stil na cyberaanval

Hackers hebben een poging gedaan in te breken in de systemen van Medisch Centrum Leeuwarden. Het ziekenhuis heeft uit voorzorg alle dataverkeer met de buitenwereld afgesloten. 

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden