Gebruikt jouw bedrijf of instelling Citrix-software, dan is het sinds anderhalve week opletten geblazen. Hackers proberen via een beveiligingslek binnen te komen in systemen van Nederlandse ziekenhuizen en gemeentes.

“Bij veel organisaties staat de digitale voordeur open. Daardoor zijn ze een makkelijke prooi voor hackers”, zegt Frank Groenewegen, directeur bij cyberbeveiliger Fox-IT.

In het ultieme rampscenario liggen honderden grote Nederlandse instellingen tegelijk plat. Om uit te zoeken wat er aan de hand is en hoe dat kan worden opgelost, is heel veel mankracht nodig. Groenewegen vraagt zich af of Nederland daar wel tegen opgewassen is.

Veel gemeenten en bedrijven hebben de Citrix-systemen uitgeschakeld. Daardoor kunnen ambtenaren en werknemers tijdelijk niet vanuit huis werken.

Tien vragen over het gapende gat in de Citrix-software, en wat jij kunt doen om hackers buiten de deur te houden.

1. Wat is Citrix?

Citrix is een Amerikaanse softwarebedrijf. Met de software van Citrix kunnen werknemers onder meer op afstand werken. Organisaties zetten hun interne programma's en applicaties op servers van Citrix, zodat alle werknemers er centraal op kunnen inloggen.

2. Sinds wanneer is het beveiligingslek bekend?

Citrix maakte op 17 december bekend dat er een lek zit in hun software. De fout zit in twee diensten van Citrix, namelijk de Application Delivery Controller en de Gateway.

3. Is er al een patch voor het lek?

Het duurde lang voordat Citrix met een reparatie voor het gat kwam. De eerste patch is sinds zondagavond beschikbaar, maar alleen voor oudere systemen. Donderdag 24 januari komt Citrix met de volgende ronde patches.

4. Welk risico lopen bedrijven en instellingen?

Kwaadwillenden kunnen de kwetsbaarheid gebruiken om op afstand binnen te dringen in systemen. In de afgelopen weken hebben hackers een zogenoemde exploit gemaakt, een programmaatje dat ze als wapen gebruiken om via het gat binnen te komen. Dat kwam vrijdag 10 januari uit. Hackers deelden het razendsnel met elkaar.

Binnen een paar uur zag Fox-IT de eerste aanvallers langskomen. Het bedrijf heeft zogeheten honeypots geplaatst, een lokaas. "Die doen zich voor als kwetsbare Citrix-servers. Ze werden vrijdag achter elkaar gehackt", aldus Groenewegen.

Als het lukt om binnen te dringen, kunnen ze meteen het computernetwerk van zo'n bedrijf op en zelf codes uitvoeren, zonder eerst accounts te hoeven kapen. Als ze die omweg niet nodig hebben, kunnen ze veel sneller toeslaan. In feite kunnen ze zonder toegangspas, zonder voordeurcodes en zonder controles de kluis in.

"Deze kwetsbaarheid wordt qua ernst ingeschaald op een 9,8 op een schaal van 1 tot en met 10", aldus het Nationaal Cyber Security Centrum. De kans is groot dat de aanvallers het gat misbruiken. De kans dat ze vervolgens schade kunnen aanrichten, is ook groot.

5. Hoeveel bedrijven en instellingen in Nederland lopen gevaar?

Meer dan 700 Nederlandse servers zijn kwetsbaar voor hackers door het Citrix-lek, blijkt uit een inventarisatie van Bad Packets.

6. Wie zijn er aangevallen?

Hackers hebben een poging gedaan om in te breken in de systemen van het Medisch Centrum Leeuwarden. Het ziekenhuis heeft uit voorzorg alle dataverkeer met de buitenwereld afgesloten. Daardoor kunnen patiënten niet bij hun medische dossiers, is geen uitwisseling met andere ziekenhuizen mogelijk en kunnen medewerkers niet vanuit huis werken. Bij de cyberaanval zijn geen gegevens van patiënten gestolen.

Ook de gemeente Zutphen is aangevallen. Zutphen zegt geen aanwijzingen te hebben dat de aanvallers zijn binnengedrongen of dat gegevens zijn gestolen, maar laat dit voor de zekerheid wel uitzoeken.

7. Wie zitten er achter de aanvallen?

Wie de aanvallen uitvoeren, is niet bekend. Het kunnen criminelen of spionnen zijn, maar "elke zolderkamerhacker kan zich nu met een druk op de knop toegang verschaffen tot een kwetsbare Citrix-server", zegt Groenewegen van Fox-IT. "Als gedupeerde moet je maar hopen dat het bij jou een kind is dat het doet uit kattenkwaad."

8. Wat kunnen bedrijven en instellingen doen?

Het Nationaal Cyber Security Centrum adviseert bedrijven om Citrix-software voorlopig niet meer te gebruiken en de stekker uit de servers te halen. Dat hebben tientallen gemeentes en meerdere ministeries inmiddels gedaan.

Als de impact van het uitzetten van de servers te groot is, adviseert het NCSC om “intensief te monitoren” op mogelijk misbruik.

Als bedrijven vorige week maandag hun digitale voordeur nog open hadden staan, kunnen ze ervan uitgaan dat ze gehackt zijn, zegt Groenewegen. Het beste dat ze nu kunnen doen "is als de brandweer maatregelen doorvoeren en uitzoeken wat er is gebeurd toen de deur enkele dagen op een kier stond. En als je niet kunt uitsluiten dat mensen binnen zijn geweest, moet je het alsnog melden bij de Autoriteit Persoonsgegevens."

9. Welke impact heeft het uitzetten van de software op de werkvloer?

Nu veel instellingen en organisaties de toegang tot hun Citrix-netwerk hebben afgesloten, is het de vraag of en hoe ambtenaren maandag aan de slag kunnen. "De echte impact zien we maandagochtend als ambtenaren aan het werk gaan", zegt woordvoerder Remco Groet van de Vereniging Nederlandse Gemeenten (VNG) namens de IBD, de informatiebeveiligingsdienst van de vereniging.

Bij grote gemeenten zoals Rotterdam of Amsterdam gaat het om duizenden medewerkers. Maar kleine gemeenten hebben niet die capaciteit. Er werken bijvoorbeeld veertig mensen op kantoor. Die gemeenten hebben meer armslag om het probleem op te lossen, bijvoorbeeld door het inrichten van extra werkplekken.

Veel ministeries richten extra werkplekken in en zetten pc's en laptops neer voor ambtenaren. "Dit gaat zeker nog een week duren", meldt het ministerie van Binnenlandse Zaken namens andere departementen die van het softwaresysteem gebruikmaken.

Op kantoor zijn vaak minder werkplekken dan werknemers. "Aan medewerkers is gevraagd zo veel mogelijk rekening te houden met de situatie en flexibel om te gaan met de beschikbare werkplekken", aldus het ministerie. "Ze hebben wel toegang tot de mail via hun smartphone of tablet."

Ook onder meer Schiphol, De Nederlandsche Bank (DNB), de Tweede Kamer en onderwijsinstellingen werken met Citrix.

10. Valt Citrix iets te verwijten?

Dat Citrix al een maand bezig is om het lek te dichten, is volgens Groenewegen onbegrijpelijk. "Zo'n groot bedrijf, zo'n wezenlijke kwetsbaarheid bij zeer veel belangrijke ondernemingen, en er dan zo lang over doen om met een patch te komen. Dat mag toch niet."

Het gat in de beveiliging is bovendien het tweede grote probleem voor Citrix in korte tijd. In maart vorig jaar braken hackers, mogelijk Iraanse cyberspionnen, in op het interne netwerk van Citrix. Daarbij hebben ze misschien ook gevoelige gegevens buitgemaakt.

Lees meer: