Advertentie
digitaal / Nieuws

Citrix-lek toont dat aanpak cyberveiligheid anders moet

Nederlandse overheidsorganisaties en bedrijven zijn zeer kwetsbaar voor cyberaanvallen en de aanpak moet ‘snel en fundamenteel’ veranderen. Dat concludeert de Onderzoeksraad voor Veiligheid in een rapport over het Citrix-voorval, getiteld ‘Kwetsbaar door Software’, dat uitkomt op het moment dat organisaties kampen met een volgende grootschalige kwetsbaarheid: Log4j. De Onderzoeksraad oordeelt streng over softwarefabrikanten.

16 december 2021
Citrix-shutterstock-1289743450.1.jpg

Nederlandse overheidsorganisaties en bedrijven zijn zeer kwetsbaar voor cyberaanvallen en de aanpak moet ‘snel en fundamenteel’ veranderen. Dat concludeert de Onderzoeksraad voor Veiligheid in een rapport over het Citrix-voorval, getiteld ‘Kwetsbaar door Software’, dat uitkomt op het moment dat organisaties kampen met een volgende grootschalige kwetsbaarheid: Log4j. De Onderzoeksraad oordeelt streng over softwarefabrikanten.

Disruptieve effecten

Bij duizenden organisaties ontstonden eind 2019 veiligheidslekken door de kwetsbaarheden in Citrix-software. Aanvallers drongen systemen binnen voordat er patches waren geïnstalleerd. Sommige organisaties werden gewaarschuwd, andere niet. ‘Tot op de dag van vandaag hebben zij daarmee illegale toegang tot systemen en data in bedrijven en organisaties die zij op elk moment kunnen activeren met disruptieve effecten op bedrijfsprocessen, dienstverlening, privacy en veiligheid.’

 

Overstelpt met patches

‘Veilige software is allereerst de verantwoordelijkheid van de fabrikant’, schrijft de Onderzoeksraad. Fabrikanten, die nu de gebruikers ‘overstelpen’ met patches en updates, zouden meer moeten investeren om software voortdurend te verbeteren. Zo zijn er geen instrumenten om die de gebruikers onafhankelijk inzicht in de veiligheid. Maar het probleem ligt ook bij de gebruikers: de kennis schiet vaak tekort om de juiste eisen te stellen en zo veiligere software af te dwingen, of zij zien daar het belang niet van in.

 

Krachten bundelen

De Onderzoeksraad adviseert om op Europees niveau eisen aan software te stellen en zo fabrikanten te dwingen verantwoordelijkheid te nemen. ‘Fabrikanten, overheden en organisaties zullen samen tot een effectieve aanpak moeten komen om Nederland weerbaarder te maken tegen cybercriminaliteit.’ Ook adviseert de Onderzoeksraad dat overheden en het bedrijfsleven hun krachten bundelen – voor overheden bijvoorbeeld om hun positie naar fabrikanten te versterken.

 

Centrale aanpak

Het Nationaal Cyber Security Centrum waarschuwde destijds de organisaties waarvoor zij zich verantwoordelijk achtte (overheidsdiensten en vitale organisaties), maar andere werden niet gewaarschuwd. De Onderzoeksraad wil een centrale aanpak om alle potentiële slachtoffers zo snel mogelijk te waarschuwen. (Tot op zekere hoogte is de nieuwe coalitie dit ook van plan, getuige het gisteren gepresenteerde akkoord.) ‘Ook beveelt de Raad aan dat grotere bedrijven en organisaties wettelijk worden verplicht om verantwoording af te leggen over de wijze waarop zij hun digitale veiligheid beheersen.’

Reacties: 2

U moet ingelogd zijn om een reactie te kunnen plaatsen.

Toornvliet
Zwak verhaal van de OVV.

1) Kijkt slechts naar een deel van het probleem. Citrix is van een bedrijf, maar Log4j? Hoe regel je dan aansprakelijkheid? En de aansprakelijkheid van de beheerder dan die geen clou heeft welke software hij levert?

2) Aan rapport ligt de veronderstelling dat je alles kan oplossen door institutionele en wettelijke maatregelen. Waarom betaal je gewoon niet de 10 grootste IT-bedrijven van NL om gezamenlijk een threatlist te managen en actueel te houden?
Uw emailadres wordt enkel gebruikt om mogelijk contact met u op te nemen naar aanleiding van uw bericht en is enkel zichtbaar voor de redactie.
Henk Donkers / medewerker
Het grote voordeel van dit rapport is wel dat het probleem in beeld is gebracht inclusief een oplossing met mogelijk wat haken en ogen. We kunnen nu in elk geval breed over veiligheid praten en wie een betere oplossing heeft mag zich melden

Zonder dit rapport zou het probleem zich nog langer voortslepen. ergens weten we het wel maar wie neemt het initiatief?

Ik hoop in elk geval dat de discussie snel begint en dat we snel een wettelijke regeling hebben. Het probleem is veel te groot om onopgelost te blijven.
Uw emailadres wordt enkel gebruikt om mogelijk contact met u op te nemen naar aanleiding van uw bericht en is enkel zichtbaar voor de redactie.
Advertentie