Het kabinet gaat de reactie van overheidsdiensten op het recente veiligheidslek van softwaresysteem Citrix evalueren. Dat zegt minister Grapperhaus (Justitie) in een reactie op kamervragen van het CDA.
Thuiswerken
Eind vorig jaar bleek dat de Citrix-software, door veel overheidsorganisaties onder andere gebruikt om thuiswerken van ambtenaren mogelijk te maken, een kritisch veiligheidlek had. Voordat er eind januari een officiële patch uitkwam, moest het systeem met meer houtje-touwtjeoplossingen worden beveiligd. Het Nederlandse Cyber Security Center (NCSC) adviseerde overheden om het systeem zo snel mogelijk te onderzoeken op lekken en eventuele cyberaanvallen, en veel gemeenten kozen ervoor om Citrix tijdelijk uit de lucht te halen. In een enkel geval bleken hackers systemen te hebben aangevallen, zonder grote gevolgen.
Rijk
Volgens de minister hebben decentrale overheden de ‘mitigerende maatregelen’ van eind december over het algemeen doorgevoerd. Bij een aantal rijksoverheidsdiensten bleek dat niet het geval. Grapperhaus: ‘Er zijn bij het NCSC en CIO-Rijk geen aanwijzingen dat rijksoverheidsdiensten de tussentijdse mitigerende maatregelen van Citrix van 17 december 2019 onjuist hebben doorgevoerd. Wel is bij het NCSC bekend dat er binnen de Rijksoverheid nog organisaties waren die deze oplossing niet of niet tijdig hebben doorgevoerd.’
Evaluatie
De minister zegt de maatregelen die door overheidsdiensten zijn genomen na het bekendmaken van het veiligheidslek te willen evalueren.
Bron: BinnenlandsBestuur Digitaal