'Meetings duren langer dan patchen'

Overheid steekt kop in het zand, vingertjes wijzen naar Citrix

Marjon van den Ende
Door problemen in de beveiliging van Citrix, besloten veel bedrijven onder andere thuiswerk-accounts voor enige tijd buiten gebruik te stellen. Werkend Nederland moest misschien massaal de weg op. Naast het mogelijke ongemak van lange files, leverde het beveiligingslek gigantische bedrijfsrisico’s op. ‘De digitale poorten, lek als een mandje’, zo kopten vele kranten. Het lek was al een aantal weken bekend bij Het Nederlandse Nationaal Cyber Security Centrum (NCSC), maar er was lange tijd geen update beschikbaar. Ondertussen waren er sterke aanwijzingen dat hackers klaarstonden om op grote schaal persoonsdata te stelen in ruil voor losgeld.

Hoewel de paniek door heel het land voelbaar was, richtte het NCSC het alarm in de eerste instantie op bedrijven die met een verouderde versie van Citrix werkten. Al in december 2019 kon Citrix een update leveren voor enkele versies. Voor het overige deel was een tijdelijk lapmiddel beschikbaar, maar hierbij was echter nog geen sprake van reparatie, want die werd pas begin 2020 verwacht. Voor bedrijven met verouderde versies en geen updateplan, bleek de update mosterd na de maaltijd. Alsof je je sloten vervangt terwijl de inbreker nog in je huis staat. Er werd dan ook door het NCSC gewaarschuwd dat al die bedrijven goed moesten onderzoeken of er voor die tijd geen ongenodigde gasten in hun systeem waren geslopen.

Ondanks de oproep van het NCSC om de benodigde stappen te ondernemen tegen het lek, benadrukte hetzelfde adviesorgaan dat alleen deze maatregelen niet voldoende waren. Het volledig uitschakelen van Citrix ADC en Citrix Gateway servers was het belangrijkste devies. Veel grote bedrijven en instanties gaven gehoor aan deze pleitbezorging, waaronder Schiphol, ziekenhuizen, gemeenten en de Tweede Kamer.

Herkauwen op taai ICT-voer

Minister Grapperhaus van Justitie en Veiligheid meldde in de Tweede Kamer dat Nederland door bevriende naties wordt geprezen voor de aanpak in het Citrix debacle. Hij vulde later aan dat het desondanks belangrijk is om te beseffen dat Nederland niet bepaald goed voorbereid is op digitale ontwrichting.

Hij herhaalde daarmee een uitspraak van de Wetenschappelijke Raad voor het Regeringsbeleid (WR): ‘Het is niet een kwestie óf het gebeurt, maar een kwestie van voorbereid zijn áls het gebeurt. We zullen natuurlijk ook gaan evalueren hoe het hier is gegaan: hebben we dat goed aangepakt?’. Naar eigen zeggen neemt de WRR de problematiek rondom Citrix mee om in te schatten welke implicaties het heeft voor het overheidse cyberbeleid.

Mooie uitspraken, maar eigenlijk te laat. Lagen dan uitgerekend het NCSC en de WRR te slapen op 17 december 2019? Toen werd er immers al gewaarschuwd voor een gat in de Citrix servers. Er werd echter - hoewel het NCSC hier wél van op de hoogte was - geen actie ondernomen. En voor de duidelijkheid, het was niet Citrix zelf die adviseerde de servers uit te schakelen, dat was de NCSC. De laatstgenoemde partij drukte bedrijven op het hart om het belang van continuïteit en primaire processen af te wegen tegen eventuele schade. Peinzen dus: ‘Servers voor de zekerheid afsluiten, met alle nadelige gevolgen van dien. Of via het web bereikbaar blijven, met het risico om gehackt te worden.’

Deze wijze van aanpak wordt vooral door ICT-professionals bekritiseerd. Op diverse forums gaat de klaagzang rond dat de echte chaos pas begon op het moment dat diverse overheidsinstanties dit soort ongecontroleerde en dubbelzinnige aanbevelingen gingen doen. Het lijkt erop dat veel kleinere organisaties de problemen juist vrij snel het hoofd konden bieden, zonder daarvoor de servers uit te hoeven schakelen.

Op het oog zijn het vooral kleinschalige ICT-bedrijven die mooi in de pas liepen door tijdig handelen met een diversiteit aan firewalls en een goed ontworpen infrastructuur. De vraag rijst dan ook of de inzet van écht ICT-expertise om tot een constructieve aanpak te komen wellicht meer op z’n plaats was geweest. Het ontvangen van complimenten over de aanpak door de overheid wordt weggehoond met uitspraken als ‘dit is toch een grap van het huis’, ‘er is niks om jezelf voor op de borst te kloppen als je pas een maand later alles uitzet om uit de problemen te komen’ en ‘meetings duren langer dan patchen’.

Paniekvoetbal

Citrix stelde in december dat de tijdelijke beschermende maatregelen voorlopig voldoende waren, in afwachting van een beveiligingsupdate. De enige kanttekening die Citrix maakte, was dat alleen bij bepaalde versies de mitigatiemaatregelen niet zouden werken. Het NCSC vertaalde dit echter naar ‘alle versies lopen risico’, met daarbij het radicale advies om alle servers uit te schakelen. Dit advies is overgenomen door de Ministers Grapperhaus (Veiligheid en Justitie) en Knops (Binnenlandse Zaken).

Met dat politieke besluit was de geest uit de fles. Maar daarmee was de onrust nog niet compleet. Vanwege het beveiligingslek was het voor veel mensen niet mogelijk om thuis te werken, of vanaf een privécomputer burgerzaken te regelen.

De ANWB attendeerde het Neerlandse volk erop dat maandag 20 januari waarschijnlijk een drukke dag zou worden op de snelwegen: ‘De files zullen -vooral in de Randstad - langer zijn dan gebruikelijk.’ Ook voor de maandagavond werd er rekening gehouden met een zwaardere spits dan normaal. Verder hielden grote bedrijven en ministeries prangend rekening met al die medewerkers die, na een urenlange ochtendspits, massaal op kantoor zouden verschijnen.

Het leed dat file leed

Uiteindelijk was het op maandag vooral druk op de weg vanwege de mist en een aantal ongelukken. Er waren geen aanwijzingen dat de files langer waren door de Citrixkwestie. De vraag is dan ook of er gebruik is gemaakt van alle, in de haast opgebouwde provisorische werkplekken.

Opmerkelijk was dat er op dinsdag 21 januari een ANWB-publicatie verscheen met een onderzoek naar fileleed. Daaruit bleek dat Nederlanders zich vaker neerleggen bij het feit dat ze regelmatig in de file staan. Zo’n 65 procent van de ondervraagde weggebruikers vindt het acceptabel om achter de blikken rij aan te sluiten om een vertraging van gemiddeld 43 minuten op te lopen. Dit in tegenstelling tot tien jaar geleden, toen nog maar 28 procent de ondervraagden dit beeld aanvaardbaar vond.

Deze door de ANWB gepubliceerde resultaten zijn gebaseerd op een onderzoek van het Kennisinstituut voor de Mobiliteitsbeleid van het Ministerie van Infrastructuur en Waterstaat. Het doel van dit onderzoek is een beeld te schetsen van de ‘ernst’ van het fenomeen file vanuit het perspectief van de burger.

Hoe het NCSC en WRR lering kunnen trekken uit de problemen rondom Citrix? Door bijvoorbeeld eens de kantoortuin te bezoeken van dit Kennisinstituut. Navraag te doen naar hoe je een onderzoek optuigt over de ‘ernst’ van het Citrixfenoneem, vanuit het perspectief van daadwerkelijke ICT’ers en Nederlandse ondernemers die ten laste kwamen van de overtrokken berichtgeving van dezelfde overheid die zichzelf op de schouders klopt omdat alles ‘relatief’ goed gegaan is.