Gemeenten en overheid volgen advies NCSC op en schakelen Citrix-servers uit

De Tweede Kamer en gemeenten gebruiken Citrix zodat werknemers ook thuis kunnen werken. Maar de servers zijn kwetsbaar door een lek dat vorige maand werd gevonden. De kwetsbaarheid zit in de Application Delivery Controller (Netscaler ADC) en Gateway.

Er is nog geen patch beschikbaar voor dat lek, maar Citrix heeft wel een aantal mitigerende maatregelen gepubliceerd. Die maatregelen blijken echter niet altijd te werken. Het NCSC adviseerde eerder vandaag om inzichtelijk te maken wat de impact is als de servers uitgeschakeld worden. "Afhankelijk van de impact, adviseert het  NCSC te overwegen de Citrix ADC en Gateway servers uit te zetten." 

Onder meer de Tweede Kamer heeft dat advies nu overgenomen, vanwege zorgen om de veiligheid van het systeem van Citrix. Daardoor kunnen Kamerleden en medewerkers van de Kamer voorlopig niet vanuit huis werken. Ook kunnen Kamerleden voorlopig geen e-mails meer ontvangen op hun telefoons op tablets. Hoelang dat precies gaat duren, is nog niet duidelijk.De werkplekken in het parlement zijn wel gewoon beschikbaar.

Ook burgers merken impact

Naast de Tweede Kamer nemen ook tientallen gemeenten het advies van het NCSC over. Daardoor kunnen burgers niet al hun zaken afhandelen. In sommige gemeenten is het bijvoorbeeld tijdelijk niet mogelijk om een crematie of begrafenis te regelen. 

Onder meer in Rotterdam en Amsterdam is de externe toegang tot het Citrix-netwerk tijdelijk afgesloten. In Amsterdam betekent dat dat de thuiswerkomgeving voor ambtenaren niet beschikbaar is. "Ook e-mail op laptop, telefoon of iPad is niet beschikbaar", zegt wethouder Meliani.

Wel kunnen ambtenaren op de gemeentelijke kantoren werken. Het netwerk blijft namelijk beschikbaar via de vaste verbindingen op alle werkplekken van de gemeente. De wethouder zegt dat er hard aan een oplossing gewerkt wordt.

Wat als impact te groot is?

Het kan natuurlijk zo zijn dat de impact van het uitschakelen van de servers niet acceptabel is. In dat geval adviseert het NCSC om intensief te monitoren op mogelijk misbruik. 

Dit is bijvoorbeeld wat de gemeente Den Haag doet. Den Haag schakelde de servers in de nacht van donderdag op vrijdag wel uit voorzorg uit, maar zette ze vrijdagochtend weer aan. Sindsdien houdt het de computersystemen in de gaten. De gemeente overweegt om de servers voor het weekeinde weer uit te zetten.

Bij de vierde grootste stad van Nederland, Utrecht, wordt geen Citrix-software gebruikt. 

Update 15:57: Artikel aangepast om weer te geven dat ook de Tweede Kamer besloten heeft de Citrix-servers tijdelijk uit te schakelen.