Lessen uit de Citrix-crisis

Sinds de Citrix-crisis staat informatieveiligheid hoger op de agenda van gemeentelijke bestuurders en gemeentesecretarissen. De Informatie Beveiligingsdienst (IBD) van VNG Realisatie ziet dat zij beter inzicht krijgen in de risico’s die de organisatie loopt in de digitale samenleving. “De positie van de Chief Information Security Officers (CISO’s) wordt steeds belangrijker”, vertelt het hoofd van de IBD, Nausikaä Efstratiades.

Beeld: Lex Draijer/De Beeldredaktie

Welke lessen trekken gemeenten uit de problemen bij Citrix?

“We zien dat er na de Citrix-crisis veel aandacht is voor bedrijfscontinuïteit en het op orde brengen van basisprocessen rond informatieveiligheid. De problemen met Citrix maakten eens te meer duidelijk hoe afhankelijk we zijn van de goede werking van informatiesystemen.”

Wat gebeurde er bij de IBD toen de problemen begonnen?

“Begin december meldde Citrix dat er een kwetsbaarheid in een aantal van hun producten zat. Met grote gevolgen als er een hack zou plaatsvinden, maar de kans op misbruik werd toen nog ingeschat als ‘middelhoog’. Er kwam een gedeeltelijke oplossing beschikbaar om het lek te dichten. Ons CERT (Computer Emergency Response Team) heeft alle tweehonderd gemeenten die werken met Citrix gewaarschuwd en geadviseerd om die patch te draaien in combinatie met een paar andere maatregelen. We weten grotendeels welke hard- en software in gebruik is bij welke gemeente.”

Hoe ging het verder?

“Op 24 december kregen we informatie van het NCSC (Nationaal Cyber Security Centrum) dat de kans op misbruik door de kwetsbaarheid in het systeem was toegenomen; er kwamen instrumenten om misbruik te maken beschikbaar. Hackers zouden hiermee controle kunnen krijgen over kwetsbare Citrix-systemen. Toen hebben we besloten àlle gemeenten te waarschuwen, dus niet alleen de Citrix-gebruikers.”

Waarom?

“Omdat leveranciers van gemeenten ook werken met Citrix en je er dus ook op die manier mee te maken kunt krijgen. We hebben gemeenten uitleg gegeven over de patch en geholpen met het maken van risicoanalyses. Op 16 januari werd de situatie nog nijpender. Het NCSC adviseerde om Citrix uit te zetten, tenzij het echt niet anders kon.”

Hoe belangrijk is Citrix voor systemen van gemeenten?

“Het is een applicatieplatform, een knooppunt van allerlei applicaties. Dat zit diep in de ICT-voorziening van organisaties, dus ook van gemeenten. Citrix is vooral bekend als thuiswerksysteem. Maar het wordt ook gebruikt als toegangsvoorziening voor bijvoorbeeld e-mail en kantoorapplicaties. Soms wordt het zelfs gebruikt voor primaire processen.”

Hoe was het op die donderdagavond bij de IBD? Grote hectiek?

“De telefoon stond roodgloeiend. Het CERT bestaat normaal gesproken uit zes mensen, we hebben snel extra technische capaciteit geregeld van IBD. In het weekend zijn we druk geweest met het inwinnen van informatie. Steeds moesten we afwegen of we gemeenten wel of niet een sms zouden sturen, omdat sommige gemeenten de mail niet meer konden uitlezen. We zaten ook in een interdepartementaal crisisoverleg, bedoeld om de impact op de maatschappij te monitoren. Bovendien functioneerden we als kroonsteentje tussen Rijk, gemeenten en hun leveranciers. Als we iets hoorden dat ook in andere gemeenten zou kunnen spelen, stelden we die informatie aan alle gemeenten beschikbaar. Het hele weekend hebben we een hotline met elkaar gehad, ook met de NCTV en het NCSC.”

Kon de IBD alle gemeenten goed bereiken?

“Ja, we hebben van elke gemeente de beveiligingsfunctionaris onder de knop. De IBD is in 2013 begonnen, na de pioniersfase hebben we systematisch in elke gemeente minimaal één en liefst meer contactpersonen gezocht. Zij weten dat onze informatie relevant is en gaan ermee aan de slag.”

Hoe ging het er in de gemeentehuizen aan toe?

“In alle gemeenten is die avond en in de dagen erna heel hard gewerkt. Bij zo’n zware stap als het uitschakelen van een voorziening moet je goed de risico’s en gevolgen wegen. Dat is geen taak van ICT’ers, maar echt een afweging van bestuurders en managers. Met advies van de CISO. Daarna moeten de technici aan het werk. In veel gemeenten is ook hard gewerkt om extra werkplekken in te richten om thuiswerkers een plekje op kantoor te bieden. In dit geval was het bijzonder dat iedereen in dezelfde situatie zat. Bij een incident kunnen we andere gemeenten om hulp en ondersteuning vragen. Mensen uit omliggende gemeenten komen dan helpen. Maar bij deze crisis had iedereen de eigen capaciteit zelf nodig. Als zo’n crisis langer duurt moet je voldoende capaciteit hebben om mensen te vervangen; op een gegeven moment worden mensen moe en moeten ze naar bed.”

Wat was uiteindelijk de impact voor gemeenten?

“Thuiswerken was in veel gevallen niet meer mogelijk. Hier en daar kon e-mailen niet meer en in een aantal gevallen konden primaire processen niet op de normale manier doorgaan. Voor gemeenten die helemaal plat zouden gaan was de impact van het uitschakelen gewoonweg te groot, die moesten extra monitoren en aanvullende maatregelen treffen. Het was een geluk dat het signaal voor het weekend kwam. Zo hadden gemeenten tijd om de impact te bepalen, welke processen geraakt werden en hoe ze die op een andere manier konden voortzetten.”

Gemeenten mogen er trots op zijn dat ze een gezamenlijke informatiebeveiligingsdienst hebben

Leidt het Citrix-incident tot structurele veranderingen in de informatieveiligheid?

“Digitale weerbaarheid is hoger op de agenda van bestuurders en management komen te staan. De adviespoot van de IBD heeft een programma Verhogen Digitale Weerbaarheid. Dit is erop gericht de basisprocessen in orde te maken: weten wat je hebt, up-to-date houden van systemen en het inregelen van toegangsrechten van medewerkers. We constateren dat gemeenten goed geacteerd hebben in de Citrix-crisis, maar voorkomen is altijd nog beter dan genezen. Onderdeel daarvan is patchmanagement. Je moet geregeld beveiligingsupdates draaien, vaak ’s avonds en in het weekend. Sommige patches moeten sneller vanwege een hoger risico. Natuurlijk kan het vanuit het oogpunt van bedrijfsvoering wenselijk zijn om een patch uit te stellen, maar maak altijd eerst een risico-afweging. Het is belangrijk om er bewust mee bezig te zijn. We merken in gesprekken met gemeenten dat de belangstelling voor digitale weerbaarheid bij bestuurders en managers in de lift zit. Dat geldt ook voor business continuity management: hoe zorg je ervoor dat je primaire proces kan doorgaan tijdens incidenten.”

Burgemeesters oefenen in de Veiligheidsregio’s geregeld met crisissituaties. Ook met cybersecurity?

“Gemeenten hebben in VNG-verband een Agenda Digitale Veiligheid opgesteld die onlangs door het bestuur is vastgesteld. Daarin wordt de verbinding gelegd tussen openbare orde en veiligheid enerzijds en digitale dreiging anderzijds. Informatieveiligheid en cybercrime krijgen een plaats in de structuur van crisisbeheersing en rampenbestrijding die voor bestuurders gewoon is. Het onderwerp staat hoog op de agenda van de VNG.”

Is door de problemen met de Citrix-crisis het dreigingsbeeld voor gemeenten veranderd?

“We hebben geleerd dat het uitvallen van het systeem gevolgen heeft tot ver in de keten. Zo zijn ook gemeenten geraakt die zelf niet met Citrix werken, maar hun leveranciers wel. Het besef van afhankelijkheid is gegroeid. Anders gezegd: je kunt op allerlei manieren slachtoffer worden van een inbraak of hack, ook als je zelf alles op orde hebt. Dit onderstreept het belang van business continuity management, en dat je moet zorgen voor een crisisorganisatie. Als een crisis langer duurt, moet je mensen kunnen vervangen.”

Is dat een call to action voor bestuurders en managers?

“De IBD heeft contact met bijvoorbeeld het Nederlands Genootschap van Burgemeesters en met de Vereniging van Directeuren van Publieksdiensten. Daardoor weten we dat het bestuurlijk bewustzijn voor digitale weerbaarheid is toegenomen. Belangrijk is dat bestuurders en managers een directe lijn hebben met hun CISO; dat die weet wat hij moet doen en dat hij het mandaat heeft om beslissingen te nemen.”

Wat zijn de grootste risico’s?

“Meestal gaat het fout doordat mensen onvoorzichtig zijn; privémail openen op het werk of onbedoeld op een phishingmail klikken. Onvoorzichtig zijn met wachtwoorden komt ook geregeld voor. Net als identiteitsfraude waarbij een crimineel zich uitgeeft voor een bepaalde functionaris en vraagt een groot bedrag over te maken. Je moet altijd zorgen dat voor bepaalde transacties dubbele controle nodig is. Ons mantra is: doe de dingen op basis van een risicoafweging.”

Maar hoe maak je zo’n risicoafweging?

“Je moet weten wat voor soort data in de processen zitten en die data classificeren. Waar zitten de kroonjuwelen? En welke weg leggen de data af binnen de gemeente of daarbuiten. Sommige risico’s kennen een grote impact, maar als de kans dat er iets gebeurt klein is, kun je het risico accepteren. Of je maakt een scenario en daar pas je je handelen op aan. We zijn bezig met een collectieve tool voor het verder uitwerken van de privacy-impact-assessments. Op die manier kunnen voor vergelijkbare processen risicoanalyses hergebruikt worden, zodat niet iedere gemeenten voor zich hoeft na te denken over bijvoorbeeld de wettelijke grondslag. Het raamwerk kan overal van toepassing zijn, al moeten gemeenten natuurlijk altijd zelf blijven nadenken.”

Hoe werkt de IBD samen met het NCSC?

“Kort geleden is de IBD met een Ministeriële Regeling wettelijk aangewezen als officiële CERT namens gemeenten. Daardoor mag het NCSC nu meer informatie met ons delen. We krijgen straks ook de meer vertrouwelijke informatie, bijvoorbeeld bepaalde ‘indicators of compromise’ die je in je systeem kunt laden om verdachte patronen te blokkeren. En dat is een wederkerige relatie. Verdacht netwerkverkeer binnen gemeenten kan ook waardevolle informatie zijn voor Rijksoverheid of de vitale sectoren. Gemeenten hebben gezamenlijk een Security Operations Centre ingekocht. Relevante informatie gaan we delen met het NCSC.”

Is die erkenning een parel in de kroon voor de IBD?

“Ik vind dat gemeenten er trots op mogen zijn dat ze een gezamenlijke informatiebeveiligingsdienst hebben. De IBD is in 2013 opgezet omdat bestuurders beseften dat ze het onderwerp informatiebeveiliging gezamenlijk zouden moeten oppakken. Kennis was en is schaars en de uitdagingen zijn voor gemeenten min of meer gelijk. Gemeenten hebben destijds gekozen voor een gezamenlijke dienst waar elke gemeente lid van is. Een wijs besluit. Gemeenten staan het dichtst bij de burgers met hun dienstverlening en de gemeente opereert op gebieden waar de burger de overheid het hardst nodig heeft; denk aan zorg, werk en inkomen en veiligheid. Het belang van informatietechnologie en datagedreven werken wordt groter. Digitale weerbaarheid is een onmisbare randvoorwaarde, en daar dragen we vanuit de IBD een belangrijk steentje aan bij.”

Meer lezen?

Programma Verhogen digitale weerbaarheid

Dit artikel staat ook in iBestuur magazine 34

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren