De OVV kijkt in zijn onderzoek wat welke partijen, waaronder het NCSC, precies hebben gedaan om de gevolgen van het Citrix-lek in te dammen. Met het onderzoek wil de Raad de digitale veiligheid vergroten.

Minister Ferd Grapperhaus van Justitie zegt tegen Nieuwsuur dat hij van plan is het NCSC meer mogelijkheden te geven om in te grijpen als vitale organisaties hun digitale beveiliging niet op orde hebben. De minister overweegt uit te breiden wat onder 'vitaal' valt, met bijvoorbeeld ziekenhuizen.

Het NCSC waarschuwt bedrijven daarom de beveiliging op orde te houden. Maar critici wijzen ook op de rol van de NCSC zelf, dat namens de overheid toezicht houdt op de digitale veiligheid. "Het is de cyberwaakhond van Nederland, maar een met te weinig tanden", zegt Kamerlid Kees Verhoeven (D66). "De NCSC kan te weinig tegen bedrijven zeggen: jullie moeten dat gat dichten, jullie moeten in actie komen."

Het Nationaal Cyber Security Centrum (NCSC), dat valt onder het ministerie van Justitie, waarschuwde deze week nog voor de grote gevolgen die kwetsbaarheden in computersystemen kunnen hebben als er geen analoge terugvalopties zijn. Zeker als netwerken van 'vitale' organisaties zoals nutsbedrijven en ziekenhuizen worden geraakt.

Hackers konden de ingangen in computersystemen misbruiken om bijvoorbeeld netwerken van organisaties over te nemen, te gijzelen en vervolgens losgeld te eisen. En eerder concludeerden de inlichtingendiensten al dat een staat het Citrix-lek misbruikte voor spionage.

Bedrijven die later zogeheten 'patches' gebruikten om het probleem te verhelpen, waanden zich onterecht veilig. Hackers hadden het Citrix-lek al gebruikt om een bestand achter te laten waarmee ze altijd toegang hebben."De patches leverden alleen maar schijnveiligheid op", zegt Fox-IT onderzoeksleider Frank Groenewegen.

De OVV zal met name kijken naar de aanpak in de maanden na de ontdekking van het beveiligingslek. Vandaag kwam beveiligingsbedrijf Fox-IT met een rapport waarin staat dat nadat de problemen bij Citrix bekend werden, alsnog zeker 39 servers via het lek gehackt zijn door criminelen en spionnen.

De Onderzoeksraad voor Veiligheid (OVV) start een onderzoek naar het beveiligingslek in de software van Citrix. Eind vorig jaar kwam het lek aan het licht. Honderden en mogelijk zelfs duizenden organisaties werden erdoor getroffen, waaronder partijen die gevoelige, vitale processen beheren.

Citrix juicht het OVV-onderzoek toe. "Dit soort onderzoeken kan alleen maar beveiliging beter maken en dat vinden we prima", zegt Jeroen van Rotterdam, een Nederlandse topman bij het bedrijf.

Hij zegt niet verbaasd te zijn over het aantal servers dat getroffen werd door het lek. Volgens hem gaat het maar om "minder dan één procent van het aantal Citrix-apparaten dat in gebruik is".

Bedrijven die na het dichten van het lek alsnog gehackt werden, hadden er goed aan gedaan hun systemen door te lichten of er al een aanval was geweest. "Dat is zeer gebruikelijk en bevelen wij zeker aan. Klanten zijn verantwoordelijkheid voor hun eigen systemen."