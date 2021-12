Bij het beveiligingsbedrijf Fox-IT krijgt het Defensie Cyber Commando een training. Beeld Julius Schrank

De Rijksoverheid werd gewaarschuwd door de AIVD, die de infrastructuur van deze hackgroepen in de gaten hield. De dienst deelde de informatie pas na enkele dagen met het Nationaal Cyber Security Centrum (NCSC), zo blijkt uit het rapport. De OVV onderzocht de impact van het lek in de software van Citrix. Eind 2019 werd er een kwetsbaarheid in deze veelgebruikte dienst ontdekt, waarop bedrijven en ministeries applicaties en interne programma’s laten draaien. Welke organisaties binnen de Rijksoverheid zijn gehackt, is niet bekendgemaakt.

Medewerkers loggen in op de Citrix-omgeving en komen zo op het interne netwerk van hun organisatie. Citrix is een belangrijke dienstverlener en heeft wereldwijd ongeveer 400 duizend klanten. Middels de kwetsbaarheid was het voor buitenstaanders mogelijk die interne netwerken binnen te dringen. Dat gebeurde bijvoorbeeld bij het Medisch Centrum Leeuwarden. Er was niet meteen een oplossing – een zogeheten ‘patch’ – voorhanden, waardoor netwerken kwetsbaar waren.

Centrale aanpak

Verschillende buitenlandse hackgroepen maakten misbruik van het lek. Het NCSC adviseerde vervolgens om Citrix-servers helemaal af te sluiten, waar de Rijksoverheid, Schiphol, de energiesector en de Tweede Kamer last van hadden. Andere organisaties werden niet door het NCSC geadviseerd en bleven kwetsbaar. Uit een analyse van beveiligingsbedrijf Fox-IT bleek dat hackers een half jaar na het lek nog bij zeker 25 Nederlandse organisaties toegang hadden.

OVV: ‘Aanvallers konden nog steeds op grote schaal digitale systemen binnendringen. Tot op de dag van vandaag hebben zij daarmee illegale toegang tot systemen en data, in bedrijven en organisaties die zij op elk moment kunnen activeren met disruptieve effecten op bedrijfsprocessen, dienstverlening, privacy en veiligheid.’

De raad adviseert een ‘centrale aanpak’ om digitale dreigingen te signaleren en mogelijke slachtoffers sneller te waarschuwen. Door wettelijke beperkingen en een beperkt mandaat functioneert het Nationaal Cyber Security Centrum (NCSC) niet goed. Daardoor bestaat het risico op serieuze ontwrichting van de maatschappij, waarschuwt de OVV. Jeroen Dijsselbloem, voorzitter van de Onderzoeksraad: ‘Uit dit voorval blijkt dat Nederlandse overheidsorganisaties en bedrijven zeer kwetsbaar zijn voor cyberaanvallen en dat er geen nationale structuur is waarbinnen alle potentiële slachtoffers van cyberaanvallen tijdig worden gewaarschuwd.’

Nieuw lek

Het rapport komt op een moment dat een nieuw lek, in opensourcesoftware Apache Log4j, voor onrust en paniek bij organisaties zorgt. Het NCSC heeft daarop in het weekend van 11 en 12 december veiligheidsbedrijven bijeengeroepen voor overleg. De organisatie neemt daarbij, meer dan voorheen, een actieve rol door partijen bij elkaar te brengen en te informeren. Die aanpak kan op veel bijval rekenen uit de cyberveiligheidswereld. Informatie over de kwetsbaarheid die het NCSC heeft geplaatst op GitHub, het onlineplatform waar software kan worden gedeeld, was dagenlang trending op de website.

De Onderzoeksraad wil naast een meer centrale aanpak dat fabrikanten forser investeren in de veiligheid van software door op Europees niveau kwaliteitseisen te stellen. Ook adviseert de OVV dat er één bewindspersoon komt die toeziet op digitale veiligheid. Nu is dat een verantwoordelijkheid van verschillende ministeries. De Raad beveelt verder aan dat grotere bedrijven en organisaties worden verplicht verantwoording af te leggen over de wijze waarop zij hun digitale veiligheid beheersen.