Conclusie uit Citrix-rapport OVV: Nederland loopt digitaal gevaar

De onderzoekraad heeft namelijk niet 'sec' het nu 2 jaar oude incident met Citrix-software onder de loep genomen. Het zelfstandige bestuursorgaan heeft breder gekeken naar digitale veiligheid, de rol van software, IT-beheer en maatschappelijke impact. Naast het geruchtmakende Citrix-geval zijn ook andere, eerdere voorvallen, met verschillende soorten inbreuken op digitale beveiliging, bekeken.

'Geen nationale structuur'

OVV-voorzitter Jeroen Dijsselbloem zegt over de Citrix-casus: “Uit dit voorval blijkt dat Nederlandse overheidsorganisaties en bedrijven zeer kwetsbaar zijn voor cyberaanvallen en dat er geen nationale structuur is waarbinnen alle potentiële slachtoffers van cyberaanvallen tijdig worden gewaarschuwd.” De OVV merkt in het persbericht op dat aanvallers "tot op de dag van vandaag" illegale toegang hebben "tot systemen en data in bedrijven en organisaties die zij op elk moment kunnen activeren met disruptieve effecten op bedrijfsprocessen, dienstverlening, privacy en veiligheid".

Zowel voor als na het bekend worden van het grote Citrix-beveiligingsgat zijn er diverse andere kritieke kwetsbaarheden in veelgebruikte ICT-systemen aan het licht gekomen. Momenteel krijgt het Log4Shell-gat in Java-tool Log4j veel aandacht, die is gevolgd relatief kort op ernstige beveiligingsproblemen met onder andere Microsoft Exchange, Kaseya, SolarWinds en verschillende zakelijke VPN-systemen.

Inclusief Log4j, en meer

De OVV heeft naast de duizenden getroffen Citrix-gebruikers van eind 2019 en begin 2020 gekeken naar meer slachtoffers van security-incidenten. Door deze bredere benadering valt de momenteel lopende kwestie met loggingtool Log4j in wezen ook in de scope van het vandaag gepubliceerde rapport. Naast overheidsinstanties als het Nationaal Cyber Security Centrum (NCSC) en diens rol worden ook ICT-gebruikende bedrijven, de regering én ICT-leveranciers aangesproken door de OVV.

In het rapport ‘Kwetsbaar door software’ stelt de Onderzoeksraad voor Veiligheid dat veilige software allereest de verantwoordelijkheid is van de fabrikant. Leveranciers van ICT zouden meer moeten investeren in de voortdurende verbetering van de veiligheid van hun software, aldus de OVV. Dat moet verder gaan dan het ontwikkelen en uitbrengen van patches, want die aanpak draagt door overstelping bij aan het beveiligingsprobleem.

Patchovervloed

"Fabrikanten overstelpen softwaregebruikers nu met patches en updates om gebreken in
hun software te verhelpen zonder met structurele oplossingen te komen", constateert de OVV. "Er zijn geen instrumenten die afnemers van software onafhankelijk inzicht bieden in de veiligheid van de software. Ook schiet de eigen kennis en positie van afnemers vaak tekort om zelf eisen te stellen aan fabrikanten en veiligere software af te dwingen, of zien zij daar het belang niet van in."

Daarnaast kaart de OVV het gebrekkige waarschuwingssysteem aan dat momenteel bestaat. "Veel organisaties die software gebruiken en potentieel slachtoffer zijn van cyberaanvallen worden nu niet gewaarschuwd. Het NCSC ziet voor zichzelf wettelijk geen mandaat om organisaties buiten de overheidsdiensten en vitale organisaties te waarschuwen. Het is volgens de Onderzoeksraad van groot belang dat er vanuit de overheid een centrale aanpak komt om dreigingen te signaleren en alle potentiële slachtoffers van cyberaanvallen zo snel en direct mogelijk te waarschuwen, met voldoende mandaat en wettelijke waarborgen."

De timer loopt

Het oordeel en advies van de OVV komt met formele aanbevelingen, waarop de overheid binnen 6 maanden een inhoudelijk onderbouwde reactie moet geven. Deze verse oproep tot betere beveiliging is dus meer dan slechts een constaterend rapport of een vrijblijvend advies. De invulling van de stevige aanbevelingen die de OVV nu doet, is echter aan de overheid. De onderzoeksraad heeft daar wel ideeën over, zoals bijvoorbeeld certificeringen, jaarlijkse controles zoals allang gewoon en vereist zijn door financiële accountants, de versplinterde ICT-kennis en -mandaat bij de overheid meer samenbrengen, en fabrikanten verantwoordelijk stellen.