Recent stelden drie CDA-Kamerleden schriftelijk vragen aan minister Grapperhaus van Justitie en Veiligheid over een artikel op Techzine over het Citrix-beveiligingslek. Vorige week gaf de minister daar antwoord op en tot onze verbazing staan er grote fouten in de brief. Het komt erop neer dat de minister liegt.
In januari hebben we op Techzine een exclusief interview gehouden met de CISO van Citrix, Fermin Serna, waarin we geanalyseerd hebben wat er in december en januari nu precies misging met het grote beveiligingslek in Citrix ADC en Citrix Gateway. Voor het hele verhaal kan je op bovenstaande link klikken, hieronder een korte samenvatting is.
Samenvatting Citrix-beveiligingslek
Het beveiligingslek werd door meerdere beveiligingsbedrijven in korte tijd bij Citrix gerapporteerd. Normaliter is het normaal in de industrie dat een vendor de tijd krijgt een patch te ontwikkelen. Voor Citrix was het vrij snel duidelijk dat niet alle beveiligingsbedrijven hiertoe bereid waren. Het besloot daarom de regie in eigen hand te nemen.
Citrix maakte op 17 december zelf bekend dat er een beveiligingslek was, zonder teveel details te noemen, en maakte ook meteen bekend wat Citrix-beheerders moesten doen als tijdelijke mitigerende oplossing om het beveiligingslek te dichten tot er een defintieve patch beschikbaar kwam. Citrix heeft hier ook melding van gemaakt richting zijn klanten.
Dit is in zijn geheel allemaal volgens de procedures in de markt, behalve dat het bedrijf niet de tijd heeft gehad van bepaalde beveiligingsbedrijven om een patch te ontwikkelen.
Vragen aan minister van Justitie en Veiligheid, Grapperhaus
Het artikel was voor drie Tweede Kamerleden van het CDA, te weten; Van Dam, Van den Berg en Van der Molen, reden om vragen te stellen aan minister Grapperhaus van Justitie en Veiligheid. Wij hebben dit proces op de voet gevolgd en de antwoorden van Grapperhaus verbaasden ons. Voor de zekerheid hebben we contact gezocht met Citrix, om feiten nogmaals te verifiëren.
Uit de antwoorden van Grapperhaus blijken namelijk twee dingen. Hij ziet de ernst niet in van het beveiligingslek en de omstandigheden. Veel belangrijker nog: dat wat hij schrijft in zijn antwoord klopt niet. In onze optiek liegt hij gewoon, maar het is aan de Kamer om te bepalen hoe zwaar ze hieraan willen tillen.
De door de Kamerleden gestelde vraag:
Klopt het dat er op 17 december 2019 een tijdelijke oplossing van het beveiligingslek beschikbaar werd gesteld door Citrix en dat met deze oplossing, mits goed doorgevoerd, gebruikers van Citrix beschermd waren geweest tegen het beveiligingslek?
Antwoord Grapperhaus:
“Citrix heeft op 17 december 2019 de kwetsbaarheid bekend gemaakt en tussentijdse mitigerende maatregelen beschikbaar gesteld voor de kwetsbare Citrix-producten. Of bij goed doorvoeren gebruikers beschermd waren tegen de kwetsbaarheid, hangt af van meer factoren dan alleen het al dan niet juist doorvoeren van deze maatregelen. […]”
Citrix CISO, Fermin Serna, heeft in het interview aan Techzine te kennen gegeven dat als bedrijven de tijdelijke mitigerende oplossing volledig hadden uitgevoerd, ze volledig beschermd waren tegen dit beveiligingslek, in alle versies van de getroffen producten. Ook bij een tweede en derde navraag bevestigt Citrix dit. “We bevestigen dat de mitigatie op 17 december volledig was” en “Uit ons onderzoek is gebleken dat de mitigaties effectief waren”.
Het verhaal van de minister over meer factoren is een leugen. Er zijn niet meer factoren. Als de mitigatie goed was uitgevoerd, was deze gewoon effectief.
“[..] Na de bekendmaking van de kwetsbaarheid door Citrix, heeft het Nationaal Cyber Security Centrum (NCSC) op 18 december 2019 in een beveiligingsadvies geadviseerd om de door Citrix beschikbaar gestelde tussentijdse mitigerende maatregelen door te voeren. In januari 2020, heeft het NCSC op basis van de toen beschikbare informatie geconcludeerd dat niet alleen als de tussentijdse mitigerende maatregelen niet of niet goed waren doorgevoerd, maar ook als deze niet vóór 9 januari 2020 op de juiste wijze waren doorgevoerd, organisaties ervan moesten uitgaan dat hun systemen niet beschermd waren. Daarnaast heeft Citrix 16 januari 2020 aan het NCSC gemeld dat de tijdelijke beschikbaar gestelde oplossing bij één softwareversie mogelijk niet effectief is geweest. Dit was ten tijde van bekendmaking van de kwetsbaarheid door Citrix nog niet bekend. Het NCSC heeft steeds zijn adviezen afgestemd op de laatst beschikbare informatie. Voor een overzicht hiervan verwijs ik u naar de brieven aan uw Kamer over dit onderwerp van 20 en 23 januari 2020.”
Er verschenen in januari berichten dat de mitigerende maatregelen van Citrix niet op alle versies zouden werken. Citrix heeft toen aan de Nederlandse overheid laten weten dat het deze berichten ging onderzoeken, maar kwam vervolgens snel tot de conclusie dat de mitigerende oplossingen wel degelijk werkten.
Wat minister Grapperhaus onderschat in deze zaak
Wij zijn van mening dat Grapperhaus deze zaak onderschat. Hij laat het wel onderzoeken en vervolgens verwerken in een groter rapport “Voorbereiden op digitale ontwrichting” voor de Tweede Kamer, maar daar blijft het bij. Terwijl de Kamerleden een hele terechte vraag hebben gesteld, namelijk:
Hoe beoordeelt u de ongeschreven regel in de industrie die zegt dat er binnen 90 dagen nadat een beveiligingslek wordt gemeld, deze niet publiekelijk wordt gemaakt, zodat een bedrijf het lek kan dichten? Acht u het wenselijk dat een dergelijke periode formeel wordt vastgelegd, al dan niet op Europees niveau?
Hier wordt eigenlijk geen duidelijk antwoord op gegeven, behalve dat er richtlijnen zijn en dat bedrijven hun eigen beleid moeten opstellen. Of die periode van 90 dagen in de wet moet worden verankerd, geeft hij geen antwoord op. Iets wat in deze zaak nou net het verschil gemaakt zou hebben. Wij denken dat dit zelfs nog breder opgepakt zou moeten worden, ook buiten de EU. Iemand zal echter de eerste stap moeten zetten.
Daarnaast zijn wij van mening dat het advies op 17 januari van de NCSC goed moet worden geëvalueerd. Het NCSC adviseerde toen aan de rijksoverheid om alle Citrix-servers uit te schakelen. Daardoor ontstond er een soort mediapaniek, waarbij nog veel meer desinformatie werd verspreid. Er waren namelijk ook alternatieve oplossingen die net zo effectief zijn, maar minder ingrijpend. Denk aan gebruikmaken van IP-whitelisting en alle IP-adressen van bekende gebruikers, desnoods van voor 17 december, automatisch te whitelisten.
IT-kennis bij de overheid
We snappen ook dat dit voor de minister een lastig onderwerp is. Informatie Technologie is niet zijn expertise. We zijn dan ook van mening dat er bij overheid best wat meer geïnvesteerd mag worden in de aanwezige IT-kennis. Vooral in en rond de Tweede Kamer zou het goed zijn als er meer kennis wordt aangebracht. Dat kunnen partijen zelf doen, maar dit kan ook partij onafhankelijk. Hierdoor kan de overheid betere regelgeving maken, beter inspelen op dit soort situaties, maar ook op een goede manier investeren in een sector die voor Nederland zeer waardevol is. Uiteindelijk hebben we nog steeds een ministerie voor Landbouw, maar zit IT en Innovatie verstopt bij verschillende ministeries. Wellicht komt er dan ook een einde aan geldverspillende IT-projecten bij de overheid. Als er meer kennis is bij de overheid kan dit sneller worden getackeld en kan er beter en effectiever beleid worden gemaakt. Misschien een puntje voor de verkiezingen volgend jaar? Een ministerie van IT en Innovatie.
1 dag geleden
