Beveiligingslek Citrix was al in december duidelijk, maar MCL werd niet gewaarschuwd

16 jan 2020 - 11:39

"Niet overal leek de ernst en urgentie van de kwetsbaarheden in Citrix duidelijk", zegt Ralph Moonen tegen de NOS. Hij is technisch directeur bij beveiligingsbedrijf Secura. Woensdag legde ziekenhuis MCL het dataverkeer stil na een cyberaanval. Het ziekenhuis werkt met Citrix, dat kwetsbaar is voor aanvallen. Volgens Moonen was de veiligheid niet op orde.

Foto: ANP

"Tussen dit soort hackers kunnen kwaadaardige partijen zitten", zegt Moonen. "Het kan gaan om de zeg maar 'gewone' cybercriminelen die het uitbuiten voor financieel gewin, maar ook om buitenlandse mogendheden en inlichtingendiensten."

Hij verwacht dat meerdere bedrijven in Nederland tijdelijk servers offline halen, totdat duidelijk is of ze geraakt zijn door het beveiligingslek en of er sprake is van een hack. Dat betekent dat werknemers daardoor thuis niet meer in kunnen loggen met Citrix.

Het Amerikaanse bedrijf Citrix heeft naar eigen zeggen 400.000 organisaties wereldwijd als klant. Het gaat bijvoorbeeld om ziekenhuizen, bedrijven, overheidsdiensten en universiteiten. De organisaties zetten hun interne programma's en applicaties op servers van Citrix, zodat alle werknemers er centraal op kunnen inloggen, bijvoorbeeld vanuit huis of als ze onderweg zijn.

Toen in december duidelijk werd dat Citrix last had van een beveiligingslek, zocht Moonen met een collega naar Nederlandse systemen die daardoor zijn geraakt. Zijn bevindingen heeft hij gedeeld met het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid. Maar het MCL is niet gewaarschuwd.

Dat zit zo: het NCSC stuurde een waarschuwing voor het lek bij organisaties die zij zien als 'vitale infrastructuur'. Maar Moonen zegt dat er een witte vlek is. Niet alleen het MCL is niet gewaarschuwd, ook commerciële bedrijven en MKB'ers niet.

'Citrix zat te slapen'

Woensdag werd bekend dat het MCL, en ook de gemeente Zutphen, door het lek is geraakt. Volgens Moonen betekent dat niet dat ze daar niet hebben opgelet. "Toen Citrix berichtte over het lek, was nog niet duidelijk hoe wijdverspreid het probleem was en wat je er tegen moest doen."

Moonen vindt vooral dat ze bij Citrix zaten te slapen. "Ze hadden kunnen doorwerken aan een reparatie voor het lek, een patch genaamd. Maar er kwam niet meteen een structurele oplossing." Het bedrijf heeft een middel ontwikkeld om de kans op een aanval zo klein mogelijk te maken.

(advertinsje)
(advertinsje)