NCSC adviseerde om alle Citrix-poorten te sluiten. Moet het zo drastisch, of is een meer afgewogen advies denkbaar?
De opwinding was groot. Aangejaagd door de media, die ongeveer elk uur met een update kwamen, welke organisaties nu weer geraakt dreigden te worden, groeide poortwachter Citrix uit tot heuse hype. Alle poorten preventief op slot, was het advies van cyberwaakhond NCSC (Nationaal Cyber Security Centrum). En de poorten gingen op slot, ook die van vrijwel alle gemeenten. De schrik zat er goed in.
Nadat de rust enigszins was teruggekeerd, bleef ik met een paar vragen achter. Was de paniek terecht? Had het ook anders gekund, iets meer bezonnen? Was er uberhaüpt voor bestuurders nog ruimte om op goede (technische) gronden het advies te negeren? Het zijn geen vragen die met een eenduidig ja of nee kunnen worden beantwoord. Ten eerste omdat we nog steeds niet precies de ernst en de omvang van de dreiging kennen. Misschien speelde er meer dan we nu weten. Ten tweede omdat ik begrijp dat bestuurders geen risico willen lopen. Mocht het fout gaan, dan zijn de rapen immers gaar. Maar dat neemt niet weg dat ik het lastig vind dat van een in de aard technisch probleem een bestuurlijke zaak is gemaakt.
Voorop gesteld, ik verwijt niemand iets, nou ja, hooguit Citrix. Het is niet erg verstandig om een kwetsbaarheid te melden, als er nog geen of slechts een halve patch is. Het is de kat op het spek binden. Niet vreemd dus dat aanvallers actief de aanval openden op Citrix-servers, iets waarvan de NCSC op 9 januari melding maakte, waarop vijf dagen later bestuurlijk Nederland in blinde paniek de servers uitschakelde. Een (media-)hype was geboren. Op zich was ik best blij met alle aandacht, het probleem staat nu stevig op de kaart, niet alleen in Nederland, maar ook in Europa. Ook opvallend is dat mede naar aanleiding van deze gebeurtenis steeds meer bedrijven graag door IBD (Informatiebeveiligingsdienst) en NCSC tijdig ingelicht willen worden over mogelijke aanvallen. Kennelijk doen deze organisaties hun werk goed, een geruststellend gevoel.
Toch knaagt er iets. Het NCSC-advies de zaak op slot te gooien was een soort bom die iedereen raakte, ook de organisaties die, nadat op 24 december werd gemeld dat het lek ernstig was, meteen de juiste maatregelen hadden getroffen. Was een precisie-bombardement niet verstandiger geweest, nadat eerst met betrokken partijen de zaak grondig was geïnventariseerd, inclusief de mogelijke effecten van het preventieve advies om alle Citrix-omgevingen dicht te zetten? Die tijd was er.
Nogmaals, het is geen verwijt, eerder het aftasten van wat mogelijk bij een volgende keer beter kan. Wellicht is een meer afgewogen advies denkbaar. Dan zou de mediastorm, die maakte dat beslissers weinig andere keuze hadden dan de zaak op slot te draaien, wellicht niet zijn opgestoken. Niet alle dienstverlening zou dan misschien platgelegd zijn als gevolg van dit besluit. Iets meer rust, iets meer overleg, iets meer maatwerk, kan ik mij voorstellen. En waak ervoor dat een technisch probleem te snel op het bord van bestuurders belandt. Tenzij, zoals iemand opperde, de boardrooms worden bevolkt door millennials. Die raken over het algemeen wat minder snel in paniek van een hack of een lek.
Larissa Zegveld is algemeen directeur van Wigo4it, de coöperatie van de sociale diensten van Amsterdam, Den Haag, Rotterdam en Utrecht op het gebied van informatievoorziening. Begin 2019 werd zij benoemd tot voorzitter Forum Standaardisatie, ingesteld door de Nederlandse overheid met als doel het gebruik van open standaarden in de publieke sector te stimuleren.
In het licht van de bekendmaking door Citrix, de te verwachten reactie hierop door allerhande schimmige types en de schade die daaruit had kunnen voortvloeien, heeft het NCSC naar mijn idee een prima advies afgegeven. In dergelijke gevallen geldt het voorzorgsprincipe. Helaas leidt dat tot effect voor gebruikers, maar het effect was echt negatief geweest wanneer de dreiging werkelijkheid was geworden. In mijn ogen: ja, dit was nodig.
De redenen dat dit op boardroom niveau besproken wordt zijn a) gebrek aan mandaat op (technisch) operationeel niveau en b) gebrek aan resilience in de voorzieningen en afhankelijke bedrijfsprocessen.
Als er aanleiding is zoals laatst bij zeer dichte mist of een stier op de weg kan de wegbeheerder zelfstandig ingrijpen en een weg afsluiten. Daarbij hebben we op ons wegennet de mogelijkheid omleidingen in te stellen of accepteren we het om een afspraak af te zeggen.
Het manco van veel onderdelen van onze digitale wereld ligt in gebrek aan weerbaarheid door single point of failures maar ook door het gebrek aan terugval op andere alternatieven. Laat dit een lesje zijn in Business Continuity waarbij iedere proceseigenaar moet nadenken over alternatieven als een aan het publieke internet verbonden dienst er tijdelijk niet meer is.
Uit eigen gegevens blijkt dat aanvallen massaal plaatsvonden en dat de maatregelen absoluut noodzakelijk waren.
Ik denk dat we een klein kijkje in de toekomst hebben gekregen. Waar bestuurders nu vooral aan de knoppen ‘financieel’ en ‘juridisch’ draaien en dus ook geacht worden daar (basis)kennis van te hebben, wordt ‘digitaal’ een vaste waarde in de boardroom. En niet omdat ze dat zo graag willen, maar omdat de samenleving dat vraagt. Security, privacy, maar ook technische (on)mogelijkheden én de impact op maatschappij als geheel en op het individu. En ik denk niet dat dat lukt met het toevoegen van een paar millenials. Bestuurders tackelden tot nu toe een watersnoodramp, een bankencrisis of lerarenstakingen, maar er komen nog veel meer kleine en grote digitale rampen aan, welke bestuurder gaat die oplossen? Ik kijk met grote irritatie naar de toeslagenaffaire, waar een systeem is ingericht omdat het technisch kon, maar waar zowel de burgers als de politici totaal niet begrijpen hoe het in elkaar steekt. Tijd voor een opleiding ‘digitaal leiderschap’, in onze gemeente starten we binnenkort hiermee, wie volgt?