Bedrijven, overheden en onderwijsinstellingen in Nederland hebben hun computersystemen niet onder controle. „Bij veel organisaties staat de digitale voordeur open. Daardoor zijn ze een makkelijke prooi voor hackers.” Dat is de conclusie van Frank Groenewegen, directeur bij cyberbeveiliger Fox-IT, nu de eerste aanvallen op Citrix-servers opduiken.
Citrix werd in december gewaarschuwd voor een gapend gat in de beveiliging van een paar producten. Bedrijven, overheden en andere organisaties over de hele wereld hebben interne applicaties op zulke systemen staan. Ze gebruiken die software onder meer om hun werknemers op afstand te laten werken. Op maandag had het Nationaal Cyber Security Centrum (NCSC) een dringende oproep aan gebruikers gedaan om zo snel mogelijk een voorlopig lapmiddel in hun systeem te zetten, om de kans op een hack te verkleinen.
In de afgelopen weken hebben hackers een zogenoemd exploit gemaakt, een programmaatje dat ze als wapen gebruiken om via het gat binnen te komen. Dat kwam op vrijdag uit. Hackers deelden het razendsnel met elkaar. Binnen een paar uur zag Fox-IT de eerste aanvallers langskomen. Het bedrijf heeft zogeheten honeypots geplaatst, een lokaas. „Die doen zich voor als kwetsbare Citrix-servers. Ze werden vrijdag achter elkaar gehackt.”
Wie de aanvallen uitvoeren, is niet bekend. Het kunnen criminelen of spionnen zijn, maar „elke zolderkamerhacker kan zich nu met een druk op de knop toegang verschaffen tot een kwetsbare Citrix-server. Als gedupeerde moet je maar hopen dat het bij jou een kind is dat het doet uit kattenkwaad.” In het ultieme rampscenario liggen honderden grote Nederlandse instellingen tegelijk plat. Om uit te zoeken wat er aan de hand is en hoe dat kan worden opgelost, is heel veel mankracht nodig. Groenewegen vraagt zich af of Nederland daar wel tegen opgewassen is.
Als bedrijven afgelopen maandag hun digitale voordeur nog open hadden staan, kunnen ze ervan uitgaan dat ze gehackt zijn, aldus Groenewegen. Het beste dat ze nu kunnen doen „is als de brandweer maatregelen doorvoeren en uitzoeken wat er is gebeurd toen de deur enkele dagen op een kier stond. En als je niet kunt uitsluiten dat mensen binnen zijn geweest, moet je het alsnog melden bij de Autoriteit Persoonsgegevens.”
Groenewegen heeft ook kritiek op Citrix. Het grote Amerikaanse bedrijf is al een maand bezig om het gat te dichten. Die reparatie, een patch, komt op zijn vroegst volgende week en misschien later. „Zo’n groot bedrijf, zo’n wezenlijke kwetsbaarheid bij zeer veel belangrijke ondernemingen, en er dan zo lang over doen om met een patch te komen. Dat mag toch niet.”