Waarom IT-experts ‘knap klaar’ zijn met Citrix én het falend securitybeleid
Kwetsbaarheden in Citrix-systemen zet de beveiliging van duizenden organisaties onder druk, waaronder vitale Nederlandse organisaties. Dat is niet voor het eerst. Bekende IT-experts vragen zich tegenover iBestuur en Binnenlands Bestuur af of de overheid nog wel moet vertrouwen op een leverancier die in korte tijd meerdere grote beveiligingsincidenten heeft gekend. Maar ze leggen ook uit dat Citrix niet de enige is die blaam treft.
Sijmen Ruwhof, ethisch hacker en cybersecurity-expert, is daarom kritisch over het gebruik van Citrix binnen de overheid. ‘Citrix is een van de grote leveranciers, en wordt al sinds de jaren 90 veel gebruikt. Het is nog steeds een van de marktleiders.’
Niet de eerste keer
Naar aanleiding van de gebeurtenissen stelt hij vragen bij de betrouwbaarheid van het product, vooral op het gebied van beveiliging. ‘Begin 2020 was er ook een heel groot beveiligingslek, waardoor veel bedrijfsnetwerken werden gehackt. Nu zijn we 5,5 jaar verder en wederom wordt het lek weer heel actief en snel uitgebuit door professionele criminelen en inlichtingendiensten. Dat is echt superlink.’ Volgens Ruwhof is het dan gerechtvaardigd om te heroverwegen of je zo’n leverancier nog wel moet gebruiken: ‘Twee keer in 5,5 jaar is gewoon niet werkbaar.’ Hij noemt het ‘vertrouwen ernstig beschaamd in de integriteit en het vertrouwen in het product.’
Daarbij komt ook het trage handelen van overheidsinstellingen zelf aan bod. Over het Openbaar Ministerie zegt hij:’Dat het OM een week de tijd heeft genomen om een kritieke beveiligingspatch door te voeren, dat is totale onkunde. Dan snap je gewoon echt niet waar je mee bezig bent.’
Trage patching
Het NCSC benadrukt in een persbericht dat organisaties verder moeten gaan dan alleen technische updates. Ze moeten hun gehele cyber-securitystrategie aanpassen om weerbaarder te worden. Ook Ruwhof stelt dat het probleem breder ligt dan alleen Citrix. ‘Heel veel computernetwerken zijn helemaal niet als een ‘vesting’ opgezet, eerder als een pand met een brakke, oude sloten.’ Toch is zijn oordeel over Citrix duidelijk: ‘Door de gebeurtenissen heeft het imago van Citrix in de cybersecuritywereld wel echt een klap gekregen.’ Hoewel migreren een gigantische klus is, vindt hij: ‘Je moet je echt afvragen: moeten we als overheid wel zo’n product gebruiken met zo’n belabberde beveiligingshistorie?
Cybersecurity-expert en ondernemer Bert Hubert sluit zich aan bij de kritische noot over Citrix. ‘Iedereen is knap klaar met Citrix. Het is al jaren lek en het blijft maar lek. Dat geldt ook voor andere leveranciers, zoals Fortinet, en recent nog Palo Alto en Cisco.’ Het is volgens hem niet normaal dat er in enkele jaren tijd opnieuw op grote schaal ernstige kwetsbaarheden worden uitgebuit.
Eerdere waarschuwingen
Hubert verwijst naar een gezamenlijk rapport van de Militaire Inlichtingen- en Veiligheidsdienst (MIVD), de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en het Nationaal Cyber Security Centrum (NCSC) van eind 2024. Daarin wordt gewaarschuwd dat zogeheten ‘edge devices’, waarbij data- en netwerkverkeer aan de rand van het netwerk wordt verwerkt, zeer kwetsbaar zijn. Organisaties zouden er zelfs vanuit moeten gaan dat ze al gehackt zijn, omdat aanvallen via bekende kwetsbaarheden nauwelijks te voorkomen zijn.
Volgens Hubert zullen grote leveranciers van dergelijke apparatuur het lastig krijgen door de nieuwe softwarekwaliteitseisen in de Europese Cyber Resilience Act. ‘Iedereen weet inmiddels dat Citrix en Fortinet eigenlijk onbruikbaar zijn. Maar het interesseert niemand. ‘Wat moeten we anders kopen?’, hoor je vaak.
Alternatieven zijn er volgens hem genoeg. Toch durven veel bedrijven de overstap niet te maken, of zitten ze vast aan mantelcontracten die moeilijk te verbreken zijn. Dat frustreert volgens Hubert cybersecurityspecialisten enorm. ‘Het is prima mogelijk om andere producten te bestellen, maar dan moet je er wel moeite voor doen. Misschien heeft Citrix functies die anderen niet bieden, maar daar kun je oplossingen voor bedenken. Niemand neemt die moeite. Dus blijven we producten kopen die al ‘uit de doos’ lek zijn. Uit pure luiheid. En zo word je gehackt waar je bij staat.’ Hij vergelijkt het met een fiets die steeds wordt gestolen doordat het slot met een paperclip kan worden geopend. ‘En toch zet je er steeds weer hetzelfde AXA-slot op.’
Hoop op effect nieuwe wetgeving
Volgens strategisch adviseur Willemijn Rodenburg van Cyberveilig Nederland ligt de verantwoordelijkheid voor het uitbuiten van kwetsbaarheden bij Citrix niet alleen bij Citrix, deze is er ook voor de gebruikers. ‘Een kwetsbaarheid kan immers alleen worden uitgebuit als er geen passende patch is toegepast, maar als er nog geen patch beschikbaar is of de kwetsbaarheid onbekend is, ligt er ook een verantwoordelijkheid bij de leverancier. Denk daarbij aan veilig ontwerp en ontwikkeling is vanzelfsprekend de basis, maar in geval van een incident gaat het ook om communicatie, transparantie en het bieden van handelingsperspectief.’
Hoewel het volgens haar begrijpelijk is dat er kritiek is op Citrix, zeker omdat het bedrijf meerdere keren kwetsbaarheden heeft gehad binnen enkele jaren, benadrukt Rodenburg dat het ontwikkelen van 100% veilige software een utopie is. ‘Citrix speelt een belangrijke rol binnen vitale sectoren en overheden, waardoor het risico en de impact van kwetsbaarheden groot zijn. Het is altijd verstandig dat organisaties alternatieven onderzoeken om niet volledig afhankelijk te zijn van één leverancier, ook al is het overstappen vaak tijdrovend en kostbaar’, aldus Rodenburg.
Citrix moet zoals alle organisaties op termijn aan nieuwe cybersecuritywetgeving voldoen wat zich richt op strengere beveiligingseisen. Tegelijkertijd moeten organisaties zelf ook alert zijn en hun eigen verantwoordelijkheid nemen door tijdig te patchen, transparant te communiceren en passende maatregelen te treffen zoals netwerksegmentatie om schade te beperken.
Kwetsbaarheden zijn breder probleem
Net als Hubert denkt ook Rodenburg dat de aankomende Cyber Resilience Act een rol kan gaan spelen bij verbetering, doordat leveranciers aan strengere beveiligingsnormen moeten voldoen. ‘De Cyber Resilience Act dwingt leveranciers om hun producten vanaf het ontwerp beter te beveiligen’, aldus Rodenburg. ‘Dat draagt zonder meer bij aan het verhogen van de weerbaarheid van vitale en overheidsorganisaties tegen dit soort kwetsbaarheden.’
Cybersecurity-specialist Dave Maasland legt naar aanleiding van de gebeurtenissen uit dat het gezond is om kritisch te kijken naar systemen zoals die van Citrix, zeker omdat het gaat om edge devices die direct verbonden zijn met het internet. ‘Het gebruik van dergelijke systemen vraagt om zorgvuldige keuzes in leveranciers, regelmatig patchen en updaten, en het zorgvuldig afwegen van wie te vertrouwen is.’ Maar het is volgens hem te kort door de bocht om Citrix als slecht product te bestempelen of de volledige aandacht op één leverancier te richten, aangezien elk vergelijkbaar systeem onder een vergrootglas ligt bij aanvallers.
‘Reactie Citrix belangrijker’
Maasland benadrukt dat de kern van de beoordeling zou moeten liggen bij de manier waarop een leverancier met kwetsbaarheden omgaat. ‘Belangrijke vragen zijn of Citrix snel heeft gereageerd, of klanten tijdig en rechtstreeks zijn geïnformeerd, en of de communicatie transparant was. Grote partijen hebben daarbij vaak de middelen en capaciteit om incidenten effectief op te lossen, wat ook een voordeel kan zijn.’
Hij wijst erop dat er veel andere producten zijn geweest met ernstige kwetsbaarheden en dat het dus niet zinvol is om uitsluitend naar Citrix te wijzen. In onderzoeken zou de nadruk vooral moeten liggen op de reactie van het bedrijf en de manier van communiceren, meer dan op het enkele feit dat er een kwetsbaarheid is ontdekt.
*iBestuur heeft Citrix gevraagd om een reactie op de kritiek, maar geen reactie ontvangen.
Lees meer:
