Citrix-lek

Kunnen we nog veilig vanuit huis werken met alle lekkende systemen? Vijf vragen

Beeld Brechtje Rood

IT-beveiligingsexpert Matthijs Koot constateert dat veel software om mee vanuit huis te werken is blijven hangen in de jaren negentig. 

Nu op afstand werken niet altijd veilig blijkt, rijst de vraag hoe bedrijven en werknemers om moeten gaan met lekkende systemen, zoals dat van het Amerikaanse softwarebedrijf Citrix. “We kruipen voortdurend door het oog van de naald”, meent Matthijs Koot van computerbeveiligingsbedrijf Secura. Hij is als gastonderzoeker verbonden aan de Universiteit van Amsterdam.

Citrix heeft een nieuw programmaatje vrijgegeven waarmee het gat in de beveiliging van zijn systemen moet worden gedicht. Zijn dergelijke ‘patches’ voldoende?

“Ik hoop het wel. Het hangt ervan af. Op welk systeem ga je die software-update loslaten? Eigenlijk zou je de Citrix-systemen die al aan het internet hebben gehangen moeten beschouwen als mogelijk gehackt. Als je pech hebt, is de kwetsbaarheid uitgebuit om toegang te krijgen tot persoonsgegevens of bedrijfsgeheimen, gijzelsoftware te installeren, of een achterdeurtje te plaatsen in de Citrix-server of elders in je computernetwerk.”

Het Nationaal Cyber Security Centrum (NCSC) had nog zo gewaarschuwd. Wie is verantwoordelijk?

“Het geheim om laten we zeggen ‘de kluis te kraken’, is sinds de nacht van 9 op 10 januari op het internet verschenen. Vanaf dat moment was het openbaar en liep je als bedrijf of instantie een groot risico te worden gehackt. Maar er is helaas ook al bewijs dat criminelen de kwetsbaarheid al daarvóór hebben weten uit te buiten. Als organisatie ben je zelf verantwoordelijk voor je beveiliging, dat moet ook zo blijven. Maar dan moeten ze wel veel proactiever handelen als zo’n lek bekend wordt. Het kan niet zo zijn dat bijvoorbeeld een ziekenhuis de dupe wordt van een lek. Want nu is het wachten op de eerste échte fysieke schade. Zolang bedrijven en instanties onvoldoende aan de veiligheid van hun netwerk doen, kruipen ze steeds door het oog van de naald. Daar moeten we maar eens vanaf en ook kijken wat we als samenleving kunnen doen aan deze risico’s.”

Er zijn eerder problemen geweest met de veiligheid van VPN-software. Hoe kwetsbaar zijn zulke systemen? 

“Vorig jaar werden zeer ernstige kwetsbaarheden bekend in de producten van enkele softwarebedrijven die VPN-software ontwikkelen. Je kunt je afvragen of het misschien niet tijd wordt om zulke softwarebedrijven aansprakelijk te stellen voor de risico’s die gepaard gaan met het gebruik van hun producten. Zowel bij de VPN-software als bij Citrix blijkt het kwetsbaarheden te betreffen die je al na de jaren negentig niet meer had gehoopt te zien. Maar we zien dat het anders loopt. Men zou de softwarebedrijven kunnen vragen hoe het kan dat anno 2019, 2020 nog dit soort lekken ontdekt worden in hun producten. Overigens moet elke organisatie die zich aan het internet koppelt zich goed achter de oren krabben of dat wel nodig is, en zo ja, of het voldoende veilig is. Bedenk wel dat het om ons aller belang gaat: denk ook aan onze financiële of medische gegevens die bij verschillende organisaties staan opgeslagen.”

Moeten bedrijven het thuiswerken ontmoedigen?

“Dat gaat te ver. Thuiswerken op het netwerk van je werkgever kan wel degelijk op een veilige manier. Bedrijven zouden de toegang tot Citrix kunnen beperken door deze achter een VPN-verbinding te plaatsen. Dat verkleint het zogenaamde ‘aanvalsoppervlak’. En zo zijn er wel meer manieren om veilig thuis te kunnen werken. Het kan dus wel.”

Is lekkage in het systeem van thuiswerken niet gewoon een gegeven waar we voortaan mee moeten leren leven?

“Nou, ik wil geen angst zaaien. Maar het is onderhand wel een gegeven dat alles gehackt kan worden. De vraag is alleen hoe makkelijk we dat met z’n allen willen blijven maken voor criminelen.”

Lees ook:

Citrix-lek belemmert thuiswerken; dat wordt inschikken op kantoor.

Door een ernstig beveiligingslek kunnen duizenden mensen maandag de werkweek niet thuiswerkend beginnen. 

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden