De Onderzoeksraad voor Veiligheid heeft zijn onderzoek naar aanleiding van de Citrix-kwetsbaarheid afgerond. De raad ziet veel verbeterpunten en beveelt de Nederlandse overheid aan om verantwoording over digitale risico's te laten afleggen.
Zowel bedrijven als organisaties en de overheid zouden op eenduidige wijze verantwoording moeten afleggen over de wijze waarop zij digitale veiligheidsrisico's beheersen, schrijft de Onderzoeksraad voor Veiligheid in zijn 143 pagina's tellende rapport. Het document beschrijft de lessen die getrokken zijn uit de kwetsbaarheid in Citrix, die in december 2019 wereldwijd voor grote problemen zorgde.
De raad noemt verschillende mogelijke manieren om organisaties verantwoording over digitale risico's af te laten leggen. Dat kan het verplicht maken van het vermelden van dergelijke risico's en maatregelen in jaarverslagen zijn, onder controleverklaring van een accountant. Bij de overheid zou er een eenduidig mandaat voor ciso's moeten komen, onder toezicht van de minister.
/i/2004840680.png?f=imagenormal)
Een belangrijke conclusie uit het onderzoek is dat niet alle betrokkenen op tijd werden ingelicht over de ernst van het Citrix-lek door het Nationaal Cyber Security Centrum. Volgens het rapport werd slechts een deel van de gebruikers gewaarschuwd en konden aanvallers daardoor op grote schaal systemen binnendringen. Volgens het rapport hebben criminelen 'tot op de dag van vandaag' nog toegang tot systemen, die ze op elk moment kunnen activeren.
De Onderzoeksraad wil dat het Nederlandse kabinet er op korte termijn voor zorgt dat potentiële slachtoffers van cyberaanvallen snel en doeltreffend gewaarschuwd kunnen worden. Dat moet gevraagd en ongevraagd kunnen gebeuren. De rol van het NCSC is daar nu te beperkt voor, zeggen de onderzoekers. Zij vinden dat de overheid hiervoor moet samenwerken met private partijen en dat er 'voldoende mandaat en wettelijke waarborgen' ingesteld moeten worden. Het NCSC heeft op dit moment alleen een mandaat om overheden en bedrijven te waarschuwen die als vitale infrastructuur zijn aangemerkt. Andere bedrijven worden gewaarschuwd door het Digital Trust Center, al zijn er vergevorderde plannen tussen die partijen om meer samen op te trekken.
De Onderzoeksraad beveelt ook aan om te bevorderen dat Nederlandse organisaties en consumenten 'gezamenlijk veiligheidseisen formuleren en afdwingen' bij softwarefabrikanten. De overheid moet daarbij een voortrekkersrol spelen.
De Onderzoeksraad voor Veiligheid begon het onderzoek naar de Citrix-kwetsbaarheid in juli vorig jaar. Doel daarvan was onder meer om te kijken hoe de overheid heeft gehandeld bij het melden van de kwetsbaarheid en de manier waarop bedrijven die hebben gepatcht. Door de ernstige kwetsbaarheid in Citrix was onder andere remote code execution mogelijk. Veel Nederlandse bedrijven en overheidsinstellingen bleken kwetsbaar te zijn voor het lek.
De conclusies van het onderzoek liggen in lijn met die van eerdere onderzoeken naar de manier waarop Nederland omgaat met digitale dreigingen. Volgens het jaarlijkse Cybersecuritybeeld van de Nationaal Coördinator Terrorismebestrijding en Veiligheid en het Nationaal Cyber Security Centrum worden er nog steeds te weinig maatregelen genomen. Daardoor loopt Nederland grote kans op digitale ontwrichting, waarschuwen zij.