Hackers wisten binnen te dringen in de systemen van het Medisch Centrum in Leeuwarden en probeerden hetzelfde bij de gemeente Zutphen. De veiligheid was niet op orde, en daarin zijn ze niet de enige. Ralph Moonen, technisch directeur bij beveiligingsbedrijf Secura, verwacht dat meer systemen zijn gehackt.
"Niet overal leek de ernst en urgentie van de kwetsbaarheden in Citrix duidelijk. Terwijl tussen dit soort hackers kwaadaardige partijen kunnen zitten", zegt Moonen. "Het kan gaan om de zeg maar 'gewone' cybercriminelen die het uitbuiten voor financieel gewin, maar ook om buitenlandse mogendheden en inlichtingendiensten."
Hij verwacht dat meerdere bedrijven in Nederland tijdelijk servers offline zullen halen totdat duidelijk is of ze door het beveiligingslek geraakt zijn en of er sprake is van een hack. Dat betekent dat werknemers daardoor niet meer via Citrix op afstand kunnen inloggen in hun werkomgeving.
Toen in december duidelijk werd dat Citrix kampte met een beveiligingslek, ging Moonen samen met een collega op zoek naar Nederlandse systemen die daardoor waren geraakt. "Dat deden we door ieder IP-adres in Nederland te controleren. Uiteindelijk bleken honderden systemen gevaar te lopen, meer dan 700 servers."
Moonen deelde zijn bevindingen met het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid. "We zagen namelijk aan de resultaten dat ook overheidsonderdelen kwetsbare servers hadden."
NCSC heeft een publieke waarschuwing gegeven voor het lek bij organisaties die zij zien als 'vitale infrastructuur'. Maar er is een witte vlek, zegt Moonen. "Er is bijvoorbeeld niemand die commerciële bedrijven en MKB'ers pro-actief waarschuwt." Ook het ziekenhuis in Leeuwarden laat ons weten dat zij niet zijn gewaarschuwd.
'Citrix zit te slapen'
Vandaag werd bekend dat het Medisch Centrum Leeuwarden net als de gemeente Zutphen via het lek in Citrix is geraakt. Volgens Moonen betekent dat niet dat daar iemand niet heeft zitten opletten. "Toen Citrix berichtte over het lek, was nog niet duidelijk hoe wijdverspreid het probleem was en wat je er tegen moest doen."
Hij vindt dat vooral Citrix heeft zitten slapen. "Ze hadden kunnen doorwerken aan een reparatie voor het lek, een patch genaamd. Maar er kwam niet meteen een structurele oplossing." Het bedrijf heeft een middel ontwikkeld om de kans op een aanval zo klein mogelijk te maken. Een patch komt waarschijnlijk voor het einde van de maand.
Moonen vindt ook dat minister Ferd Grapperhaus van Justitie zich deze kwestie moet aantrekken. "Dit is de tweede keer in korte tijd dat er zoiets gebeurt. Een half jaar geleden hadden we de kwestie rond Pulse Secure." Door een lek bij deze VPN-dienstverlener stonden de interne netwerken van honderden bedrijven maandenlang open, meldde de Volkskrant destijds.
Boetes uitdelen?
"Dat Nederland te weinig beveiligd is op dit gebied, is na deze twee kwesties wel duidelijk", zegt Moonen. De minister zei vorig jaar dat hij bedrijven die hun ICT niet op orde hebben, harder wil gaan aanpakken. Hij wil ook het mandaat van de NCSC veranderen, zodat het een dwangsom kan opleggen.
Volgens Moonen zijn boetes niet de oplossing. "Het gebeurt is sommige landen wel, in Engeland bijvoorbeeld, maar het is de vraag hoe effectief het is. Want een boete leg je achteraf op, als het probleem al is geschied. Je wil eigenlijk dat het niet voorkomt. Daarom is een pro-actief beleid veel beter."