nieuws

Chinese staatshackers drongen binnen bij Nederlandse overheid dankzij wereldwijd Citrix-lek

De Nederlandse overheid is tijdens de Citrix-crisis in 2020 aangevallen door een buitenlandse, aan een staat gelieerde hackgroepering. Dat blijkt uit een rapport van de Onderzoeksraad voor Veiligheid (OVV). Het zou om Chinese hackers gaan die daadwerkelijk zijn binnengedrongen.

Huib Modderkolk
Bij het beveiligingsbedrijf Fox-IT krijgt het Defensie Cyber Commando een training.  Beeld Julius Schrank
Bij het beveiligingsbedrijf Fox-IT krijgt het Defensie Cyber Commando een training.Beeld Julius Schrank

De Rijksoverheid werd gewaarschuwd door de AIVD en MIVD, die de infrastructuur van deze hackgroepen in de gaten hielden. De dienst deelde de informatie pas na enkele dagen met het Nationaal Cyber Security Centrum (NCSC), zo blijkt uit het rapport. De OVV onderzocht de impact van het lek in de software van Citrix. Eind 2019 werd er een kwetsbaarheid in deze veelgebruikte dienst ontdekt, waarop bedrijven en ministeries applicaties en interne programma’s laten draaien. Welke organisaties binnen de Rijksoverheid zijn gehackt, is niet bekendgemaakt.

Medewerkers loggen in op de Citrix-omgeving en komen zo op het interne netwerk van hun organisatie. Citrix is een belangrijke dienstverlener en heeft wereldwijd ongeveer 400 duizend klanten. Middels de kwetsbaarheid was het voor buitenstaanders mogelijk de interne netwerken binnen te dringen. Dat gebeurde bijvoorbeeld bij het Medisch Centrum Leeuwarden. Er was niet meteen een oplossing – een zogeheten patch – voorhanden, waardoor netwerken kwetsbaar waren.

Centrale aanpak tegen digitale dreiging

Verschillende buitenlandse hackgroepen maakten misbruik van het lek. Het NCSC adviseerde vervolgens om Citrix-servers helemaal af te sluiten, waar de Rijksoverheid, Schiphol, de energiesector en de Tweede Kamer last van hadden. Andere organisaties werden niet door het NCSC geadviseerd en bleven kwetsbaar. Uit een analyse van beveiligingsbedrijf Fox-IT bleek dat hackers een halfjaar na het lek nog bij zeker 25 Nederlandse organisaties toegang hadden.

OVV: ‘Aanvallers konden nog steeds op grote schaal digitale systemen binnendringen. Tot op de dag van vandaag hebben zij daarmee illegale toegang tot systemen en data, in bedrijven en organisaties die zij op elk moment kunnen activeren met disruptieve effecten op bedrijfsprocessen, dienstverlening, privacy en veiligheid.’

De raad adviseert een ‘centrale aanpak’ om digitale dreigingen te signaleren en mogelijke slachtoffers sneller te waarschuwen. Door wettelijke beperkingen en een beperkt mandaat functioneert het Cyber Security Centrum niet goed. Daardoor bestaat het risico op serieuze ontwrichting van de maatschappij, waarschuwt de OVV. Voorzitter Jeroen Dijsselbloem: ‘Uit dit voorval blijkt dat Nederlandse overheidsorganisaties en bedrijven zeer kwetsbaar zijn voor cyberaanvallen en dat er geen nationale structuur is waarbinnen alle potentiële slachtoffers van cyberaanvallen tijdig worden gewaarschuwd.’

Nieuw lek

Het rapport komt op een moment dat een nieuw lek, in opensourcesoftware Apache Log4j, voor onrust en paniek bij organisaties zorgt. Het NCSC heeft daarop in het weekend van 11 en 12 december veiligheidsbedrijven bijeengeroepen voor overleg. De organisatie neemt daarmee, meer dan voorheen, een actieve rol door partijen bij elkaar te brengen en te informeren. Die aanpak kan op veel bijval rekenen uit de cyberveiligheidswereld. Informatie over de kwetsbaarheid die het NCSC heeft geplaatst op GitHub, het onlineplatform waar software kan worden gedeeld, was dagenlang trending op de website.

De Onderzoeksraad wil naast een meer centrale aanpak dat fabrikanten forser investeren in de veiligheid van software door op Europees niveau kwaliteitseisen te stellen. Ook adviseert de OVV dat er één bewindspersoon komt die toeziet op digitale veiligheid. Nu is dat een verantwoordelijkheid van verschillende ministeries. De raad beveelt verder aan dat grotere bedrijven en organisaties wordt verplicht verantwoording af te leggen over de wijze waarop zij hun digitale veiligheid beheersen.

Meer over