Hack(poging) in ziekenhuis en gemeente: 'Urgentie lek leek niet duidelijk'
Hackers wisten binnen te dringen in de systemen van het Medisch Centrum in Leeuwarden en probeerden hetzelfde bij de gemeente Zutphen. De veiligheid was niet op orde, en daarin zijn ze niet de enige. Ralph Moonen, technisch directeur bij beveiligingsbedrijf Secura, verwacht dat meer systemen zijn gehackt.
"Niet overal leek de ernst en urgentie van de kwetsbaarheden in Citrix duidelijk. Terwijl tussen dit soort hackers kwaadaardige partijen kunnen zitten", zegt Moonen. "Het kan gaan om de zeg maar 'gewone' cybercriminelen die het uitbuiten voor financieel gewin, maar ook om buitenlandse mogendheden en inlichtingendiensten."
Hij verwacht dat meerdere bedrijven in Nederland tijdelijk servers offline zullen halen totdat duidelijk is of ze door het beveiligingslek geraakt zijn en of er sprake is van een hack. Dat betekent dat werknemers daardoor niet meer via Citrix op afstand kunnen inloggen in hun werkomgeving.
Het Amerikaanse bedrijf Citrix heeft naar eigen zeggen 400.000 organisaties wereldwijd als klant. Het gaat bijvoorbeeld om ziekenhuizen, bedrijven, overheidsdiensten en universiteiten. De organisaties zetten hun interne programma's en applicaties op servers van Citrix, zodat alle werknemers er centraal op kunnen inloggen, bijvoorbeeld vanuit huis of als ze onderweg zijn.
Toen in december duidelijk werd dat Citrix kampte met een beveiligingslek, ging Moonen samen met een collega op zoek naar Nederlandse systemen die daardoor waren geraakt. "Dat deden we door ieder IP-adres in Nederland te controleren. Uiteindelijk bleken honderden systemen gevaar te lopen, meer dan 700 servers."
Moonen deelde zijn bevindingen met het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid. "We zagen namelijk aan de resultaten dat ook overheidsonderdelen kwetsbare servers hadden."
NCSC heeft een publieke waarschuwing gegeven voor het lek bij organisaties die zij zien als 'vitale infrastructuur'. Maar er is een witte vlek, zegt Moonen. "Er is bijvoorbeeld niemand die commerciële bedrijven en MKB'ers pro-actief waarschuwt." Ook het ziekenhuis in Leeuwarden laat ons weten dat zij niet zijn gewaarschuwd.
'Citrix zit te slapen'
Vandaag werd bekend dat het Medisch Centrum Leeuwarden net als de gemeente Zutphen via het lek in Citrix is geraakt. Volgens Moonen betekent dat niet dat daar iemand niet heeft zitten opletten. "Toen Citrix berichtte over het lek, was nog niet duidelijk hoe wijdverspreid het probleem was en wat je er tegen moest doen."
Volgens de gemeente Zutphen is er door hackers geprobeerd om binnen te komen, maar is er "geen signaal" dat er ook daadwerkelijk toegang is verkregen tot systemen of dat er gegevens zijn gestolen. Zekerheid hierover is er nog niet, de gemeente laat dit onderzoeken.
Bij het Medisch Centrum Leeuwarden wordt ook verder onderzoek gedaan. "We hebben sporen aangetroffen van hackers, maar weten niet precies hoe ver ze zijn gekomen in de systemen. Of ze alleen door de eerste deur zijn, of ook door de tweede deur waardoor je echt naar binnen kan. Onze IT'ers onderzoeken dat nu."
Hij vindt dat vooral Citrix heeft zitten slapen. "Ze hadden kunnen doorwerken aan een reparatie voor het lek, een patch genaamd. Maar er kwam niet meteen een structurele oplossing." Het bedrijf heeft een middel ontwikkeld om de kans op een aanval zo klein mogelijk te maken. Een patch komt waarschijnlijk voor het einde van de maand.
Moonen vindt ook dat minister Ferd Grapperhaus van Justitie zich deze kwestie moet aantrekken. "Dit is de tweede keer in korte tijd dat er zoiets gebeurt. Een half jaar geleden hadden we de kwestie rond Pulse Secure." Door een lek bij deze VPN-dienstverlener stonden de interne netwerken van honderden bedrijven maandenlang open, meldde de Volkskrant destijds.
Boetes uitdelen?
"Dat Nederland te weinig beveiligd is op dit gebied, is na deze twee kwesties wel duidelijk", zegt Moonen. De minister zei vorig jaar dat hij bedrijven die hun ICT niet op orde hebben, harder wil gaan aanpakken. Hij wil ook het mandaat van de NCSC veranderen, zodat het een dwangsom kan opleggen.
Volgens Moonen zijn boetes niet de oplossing. "Het gebeurt is sommige landen wel, in Engeland bijvoorbeeld, maar het is de vraag hoe effectief het is. Want een boete leg je achteraf op, als het probleem al is geschied. Je wil eigenlijk dat het niet voorkomt. Daarom is een pro-actief beleid veel beter."
Bron: NOS.nl