Citrix-lek toont dat aanpak cyberveiligheid anders moet
Nederlandse overheidsorganisaties en bedrijven zijn zeer kwetsbaar voor cyberaanvallen en de aanpak moet ‘snel en fundamenteel’ veranderen. Dat concludeert de Onderzoeksraad voor Veiligheid in een rapport over het Citrix-voorval, getiteld ‘Kwetsbaar door Software’, dat uitkomt op het moment dat organisaties kampen met een volgende grootschalige kwetsbaarheid: Log4j. De Onderzoeksraad oordeelt streng over softwarefabrikanten.
Nederlandse overheidsorganisaties en bedrijven zijn zeer kwetsbaar voor cyberaanvallen en de aanpak moet ‘snel en fundamenteel’ veranderen. Dat concludeert de Onderzoeksraad voor Veiligheid in een rapport over het Citrix-voorval, getiteld ‘Kwetsbaar door Software’, dat uitkomt op het moment dat organisaties kampen met een volgende grootschalige kwetsbaarheid: Log4j. De Onderzoeksraad oordeelt streng over softwarefabrikanten.
Disruptieve effecten
Bij duizenden organisaties ontstonden eind 2019 veiligheidslekken door de kwetsbaarheden in Citrix-software. Aanvallers drongen systemen binnen voordat er patches waren geïnstalleerd. Sommige organisaties werden gewaarschuwd, andere niet. ‘Tot op de dag van vandaag hebben zij daarmee illegale toegang tot systemen en data in bedrijven en organisaties die zij op elk moment kunnen activeren met disruptieve effecten op bedrijfsprocessen, dienstverlening, privacy en veiligheid.’
Overstelpt met patches
‘Veilige software is allereerst de verantwoordelijkheid van de fabrikant’, schrijft de Onderzoeksraad. Fabrikanten, die nu de gebruikers ‘overstelpen’ met patches en updates, zouden meer moeten investeren om software voortdurend te verbeteren. Zo zijn er geen instrumenten om die de gebruikers onafhankelijk inzicht in de veiligheid. Maar het probleem ligt ook bij de gebruikers: de kennis schiet vaak tekort om de juiste eisen te stellen en zo veiligere software af te dwingen, of zij zien daar het belang niet van in.
Krachten bundelen
De Onderzoeksraad adviseert om op Europees niveau eisen aan software te stellen en zo fabrikanten te dwingen verantwoordelijkheid te nemen. ‘Fabrikanten, overheden en organisaties zullen samen tot een effectieve aanpak moeten komen om Nederland weerbaarder te maken tegen cybercriminaliteit.’ Ook adviseert de Onderzoeksraad dat overheden en het bedrijfsleven hun krachten bundelen – voor overheden bijvoorbeeld om hun positie naar fabrikanten te versterken.
Centrale aanpak
Het Nationaal Cyber Security Centrum waarschuwde destijds de organisaties waarvoor zij zich verantwoordelijk achtte (overheidsdiensten en vitale organisaties), maar andere werden niet gewaarschuwd. De Onderzoeksraad wil een centrale aanpak om alle potentiële slachtoffers zo snel mogelijk te waarschuwen. (Tot op zekere hoogte is de nieuwe coalitie dit ook van plan, getuige het gisteren gepresenteerde akkoord.) ‘Ook beveelt de Raad aan dat grotere bedrijven en organisaties wettelijk worden verplicht om verantwoording af te leggen over de wijze waarop zij hun digitale veiligheid beheersen.’
1) Kijkt slechts naar een deel van het probleem. Citrix is van een bedrijf, maar Log4j? Hoe regel je dan aansprakelijkheid? En de aansprakelijkheid van de beheerder dan die geen clou heeft welke software hij levert?
2) Aan rapport ligt de veronderstelling dat je alles kan oplossen door institutionele en wettelijke maatregelen. Waarom betaal je gewoon niet de 10 grootste IT-bedrijven van NL om gezamenlijk een threatlist te managen en actueel te houden?