'Citrix-lek toont waarde ict-samenwerking gemeenten'

De Nederlandse gemeenten hebben adequaat opgetreden tegen de beveiligingsdreiging van de kwetsbaarheden in Citrix-software. Dat zegt Remco Groet, woordvoerder van de Informatiebeveiligingsdienst (IBD) van de VNG. In totaal hebben tussen de 150 en 200 gemeenten sinds eind vorige week hun Citrix-systemen stilgelegd en maatregelen genomen om de lekken te dichten.

Patch

Afgelopen weekend kwam er een officiële patch beschikbaar die het lek dicht voor een deel van de systemen. Voor andere versies van de Citrix-software komen deze week nog patches uit. Volgens Groet kan het in een aantal gevallen nog wel dagen duren voordat de systemen weer operationeel zullen zijn. ‘Er wordt vaak nog uitgebreid getest of alles goed is.’

Gevolgen

De gevolgen van het stoppen van Citrix-applicaties verschillen per gemeente. ‘In veel gevallen kunnen ambtenaren niet meer thuiswerken, maar soms zijn de gevolgen ingrijpender. Dan ligt bijvoorbeeld ook de e-mail stil of zelfs de gemeentelijke dienstverlening omdat delen van de website niet werken. In sommige gemeenten is zelfs heel Burgerzaken gesloten.’ Wat de schade voor de overheden is, kan volgens Groet moeilijk worden vastgesteld. ‘Dat is alleen lokaal te berekenen. Wij houden daar geen gegevens over bij.’

Informeren

Het informeren van organisaties over beveiligingsdreigingen ligt vooral bij het Nationaal Cyber Security Centrum (NCSC). Maar in het geval van de gemeenten speelt de IBD als specialistische dienst een belangrijke rol. ‘Vooral als het gaat om het specifiek informeren en het bereiken van de juiste personen binnen de gemeenten. Wij hebben van alle gemeenten de beveiligingsspecialisten onder de knop, daarin vullen wij het NCSC aan. Als de rijksoverheid al decentrale overheden actief zouden benaderen, dan doen ze dat via de bestuurlijke route.

Inbraak

Zutphen is de enige gemeente waarvan tot nu toe bekend is dat er een inbraakpoging is ondernomen. Maar dat meerdere gemeenten onder vuur liggen, is zeker niet uitgesloten. Uit verslagen van organisaties die internetverkeer monitoren, blijkt dat veel pogingen worden gedaan om Citrix-servers te zoeken waarbij het gat nog niet gedicht is. Inmiddels hebben 29 organisaties aan de Autoriteit Persoonsgegevens een mogelijk datalek gemeld.

Besef

Volgens Groet heeft het Citrix-lek in veel gemeenten, maar ook in andere organisaties, behoorlijk bijgedragen aan het besef dat het beschermen van de eigen systemen van levensbelang is. ‘Het is nu wel duidelijk dat informatiebeveiliging als vast agendapunt op elke bestuurstafel moet liggen’