Amsterdam, Rotterdam en andere schakelen Citrix-servers uit
De gemeenten Amsterdam en Rotterdam hebben uit voorzorg de externe toegang tot hun Citrix-netwerk tijdelijk afgesloten. Die zijn kwetsbaar door een fout in het systeem.
Gemeenten gebruiken Citrix onder meer om thuis te werken. Den Haag had de Citrix-servers in de nacht van donderdag op vrijdag uitgeschakeld, maar vrijdagochtend zijn ze weer aangezet. Den Haag houdt de computersystemen in de gaten en overweegt ze voor het weekeinde weer uit te zetten.
Aanleiding is een advies van het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid van donderdag om de servers uit voorzorg uit te schakelen. In de beveiliging van Citrix-programma’s werd in december een grote fout ontdekt. Daarvoor is nog geen reparatie beschikbaar. Citrix heeft wel een lapmiddel ontwikkeld om de kans op een aanval te verkleinen, maar dat middel blijkt niet altijd even goed te werken. „Daarom heeft de gemeente preventief besloten de Citrix-omgeving af te sluiten”, laat de Amsterdamse wethouder Touria Meliani weten.
De thuiswerkomgeving voor ambtenaren in Amsterdam is momenteel niet beschikbaar. „Ook e-mail op laptop, telefoon of iPad is niet beschikbaar”, zegt wethouder Meliani. Op de gemeentelijke kantoren kan wel gewerkt worden, aangezien het netwerk beschikbaar blijft via de vaste verbindingen op alle werkplekken van de gemeente Amsterdam. Volgens de wethouder wordt hard gewerkt aan een oplossing.
Volgens Rotterdam en Den Haag zijn er geen aanwijzingen dat onbevoegden toegang hebben gekregen tot de gemeentelijke systemen.
Ook kleinere gemeenten hebben besloten om Citrix uit voorzorg uit te schakelen, zoals Achtkarspelen en Tytsjerksteradiel in Friesland, het Brabantse Goirle en Halderberge en Beek in Limburg.
Door het gat in Citrix zouden kwaadwillenden eenvoudig toegang kunnen krijgen tot gevoelige gegevens. Duizenden Nederlandse bedrijven, overheidsdiensten, onderwijsinstellingen en organisaties zouden gevaar lopen. De fout zit in twee diensten van Citrix, namelijk de Application Delivery Controller en de Gateway. Op zijn vroegst maandag wordt een update uitgevoerd, die de kwetsbaarheden moet oplossen.