Cybersecurityspecialist Fleur van Leusden, die in de uitzending uitvoerig aan het woord komt, ziet dat patroon al jaren. Volgens haar zijn de securityproblemen ingebakken in de manier waarop Citrix functioneert en wordt gebruikt. ‘Citrix heeft veel kwetsbaarheden.’ Ze schetst hoe gemakkelijk aanvallers gericht op zoek kunnen gaan naar zwakke plekken en ‘de hele wereld kunnen afscannen’ om zich daarbij te richten op specifieke versies met kwetsbaarheden. Daarmee ontstaat een structurele race tegen de klok die overheidsorganisaties vaak verliezen. In de praktijk zijn zij niet snel genoeg om beveiligingsgaten te dichten. ‘Als je erachter komt, zijn ze vaak al binnen’, aldus Van Leusden.
Waarom is de overheid nog afhankelijk van Citrix?
In het radioprogramma Argos werd vorige week de vraag behandeld waarom de Nederlandse overheid zo sterk blijft leunen op Citrix, terwijl die software keer op keer kwetsbaar blijkt. Experts in de uitzending uiten zorgen, omdat incidenten inmiddels geen pech meer lijken, maar een terugkerend patroon.
Te weinig verontwaardiging
Argos laat in de uitzending zienhoe diep Citrix is verankerd in de digitale infrastructuur van de overheid: bij ministeries, gemeenten, politie en justitie. Het systeem is bedoeld om veilig op afstand te werken, maar precies die centrale rol maakt het ook tot een aantrekkelijk doelwit. Organisaties zitten er vaak aan vast, omdat alternatieven op dezelfde schaal niet vanzelfsprekend zijn. Minstens zo problematisch vindt Van Leusden de houding waarmee telkens nieuwe kwetsbaarheden worden geaccepteerd. Er is weinig urgentie, weinig bestuurlijke druk en weinig maatschappelijke verontwaardiging. 'In mijn ervaring laten we alles nog gelaten over ons heenkomen. Oh, weer een kwetsbaarheid, weer even updaten, alles offline. Daar gaan we weer.' Ze vraagt zich af waarom er zo weinig verontwaardiging is.
Tegelijkertijd wijst ze erop dat Citrix diep is ingebed in bestaande systemen en dat overstappen duur, complex en risicovol is. Op LinkedIn nuanceert ze dat er wél alternatieven bestaan, maar dat die ook nadelen hebben. ‘Maar die hebben zelf ook weer nadelen. Is het niet op veiligheid, dan wel op gebruik of onderhoudsgemak. Je kunt zeggen dat dit minder belangrijk is dan veiligheid, dat is een afweging. Software die lastig te gebruiken of onderhouden is, komt ook met bedrijfsrisico’s.’
Eerdere kritiek
Vorig jaar waarschuwden meerdere experts in iBestuur al dat Citrix een problematische beveiligingsgeschiedenis heeft en dat overheidsorganisaties te afhankelijk zijn van één leverancier. Cybersecurity-ondernemer Bert Hubert stelde toen dat het prima mogelijk is om andere producten te bestellen, ‘maar dan moet je er wel moeite voor doen.’ Volgens hem ontbreekt die bereidheid vaak. ‘Dus blijven we producten kopen die al ‘uit de doos’ lek zijn. Uit pure luiheid. En zo word je gehackt waar je bij staat.’ Hij vergeleek het met een fiets die steeds wordt gestolen doordat het slot met een paperclip kan worden geopend. ‘En toch zet je er steeds weer hetzelfde AXA-slot op.’
Tegenover die kritiek staat een uitgebreide reactie van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK). Het ministerie zegt de zorgen over wat het noemt “digitale monocultuur” en afhankelijkheid van een klein aantal technologiebedrijven te herkennen. Tegelijkertijd benadrukt BZK dat er geen snelle of eenvoudige uitweg is.
Geen snelle oplossing
'Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties herkent de zorgen over risico’s van digitale monocultuur en de afhankelijkheid van een klein aantal technologiebedrijven. Het aantal leveranciers dat functionaliteit levert zoals Citrix is helaas zeer beperkt. Er bestaat geen eenvoudige of snelle oplossing om te stoppen met het gebruik ervan.'
BZK stelt dat de Rijksoverheid voortdurend werkt aan het verkleinen van kwetsbaarheden en het versterken van de digitale weerbaarheid. Zo zijn recent de aangescherpte beveiligingskaders voor informatiebeveiliging (BIO2) en voor de verwerking van bijzondere informatie (VIRBI-2025) ingevoerd. Daarnaast wordt rijksbreed gewerkt aan betere detectie van dreigingen en ongeautoriseerde toegang, onder meer door samenwerking, kennisdeling en het uitwisselen van concrete dreigingsinformatie.
Inkoopeisen aangescherpt
Het ministerie wijst er ook op dat inkoopeisen voor leveranciers die de nationale veiligheid raken zijn aangescherpt en dat actief wordt gezocht naar alternatieven, onder meer via pilots met open standaarden, Europese samenwerking en marktverkenningen. In de Nederlandse Digitaliseringsstrategie (NDS) is het vergroten van digitale autonomie en weerbaarheid bovendien benoemd als een belangrijk speerpunt van het kabinet.
Tegelijkertijd erkent BZK dat overstappen naar andere systemen een langdurig en complex traject is. 'De overstap naar nieuwe systemen is een langetermijnproces dat zorgvuldige afwegingen vraagt, zowel technisch als financieel. Ministeries zijn zelf verantwoordelijk voor hun digitale keuzes, maar we stimuleren wel gezamenlijke oplossingen waar mogelijk.'
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.