29 mogelijke datalekken gemeld na problemen met Citrix

1 juli 2020, 10.42 uur

citrixsynergy | Flickr | cc by-nd

Tot nu toe 29 organisaties hebben aan de Autoriteit Persoonsgegevens gemeld dat zij een mogelijk datalek hebben door de beveiligingsproblemen met hun digitale omgeving Citrix. Of er werkelijk sprake is van datalekken, wordt nog onderzocht. Dat hangt van een aantal zaken af, zegt een woordvoerder.

Organisaties zijn verplicht om ernstige datalekken binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. Vervolgens moet blijken of dat een geslaagde aanvalspoging was of niet. Zo ja, dan wordt vervolgens gekeken of er ook data zijn gestolen.

Al gewaarschuwd

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid waarschuwde al dat de kans groot is dat veel instellingen die met Citrix-systemen werken door cybercriminelen zijn aangevallen.

Volgens het NCSC kunnen organisaties die pas na 9 januari hun systemen hebben aangepast of dat helemaal niet hebben gedaan, ervan uitgaan dat ze zijn aangevallen.

Citrix is een veelgebruikt computersysteem, waarmee mensen op afstand verbinding kunnen maken met de systemen van hun werkgever en dus bijvoorbeeld thuis kunnen werken. Veel overheden en onderwijsinstellingen gebruiken het.

Wat is Citrix en waarom zijn deze problemen ernstig?

 

Software van het Amerikaanse bedrijf Citrix maakt het mogelijk om op afstand in te loggen op computersystemen, bijvoorbeeld een bedrijfsnetwerk. Dit wordt onder meer gebruikt om op afstand te werken, vanuit huis of een hotel, maar ook in kantoortuinen met flexibele werkplekken.

 

Het beveiligingslek dat in december aan het licht kwam, zorgt ervoor dat kwaadwillenden zeer eenvoudig een Citrix-server kunnen binnendringen en vervolgens kunnen doen wat ze willen. De gevaren daarvan gaan veel verder dan een tijdje niet kunnen thuiswerken.

 

Het lek kan bijvoorbeeld worden gebruikt om (geheime) informatie of dossiers te stelen, maar ook om gijzelsoftware te installeren. Hierbij wordt een computersysteem door criminelen vergrendeld en die vergrendeling wordt pas opgeheven als het slachtoffer betaalt. De schade van gijzelsoftware kan in de miljoenen lopen.

 

Citrix werkt aan een software-update die het gat moet dichten, maar daarmee is het probleem nog niet opgelost. De update moet door alle getroffen bedrijven en instellingen worden geïnstalleerd. Zo lang dat niet gebeurt, blijven de servers kwetsbaar. Er zijn gevallen bekend van bedrijven die vergelijkbare beveiligingslekken maanden later nog steeds niet hebben gedicht.

 

In de NOS op 3 Tech Podcast vertelde Frank Breedijk van het Nederlands Security Meldpunt uitgebreid over de problemen bij Citrix.