OM verwacht nog weken grotendeels offline te zijn door Citrix NetScaler-lek

Het Openbaar Ministerie verwacht nog 'weken' uit voorzorg afgesloten te zijn van het internet vanwege beveiligingsproblemen die vorige week werden ontdekt. Het OM gebruikt de software Citrix NetScaler, die een kritieke kwetsbaarheid bevat.

Het Openbaar Ministerie doet nog onderzoek naar de beveiligingskwetsbaarheid, maar zegt dat het implementeren van een oplossing ingewikkeld en tijdrovend is. Volgens het OM wordt 'de komende periode' stapsgewijs bekeken welke systemen weer online kunnen. Momenteel zijn er al enkele zaaksystemen online, waardoor werknemers weer toegang hebben tot dossiers.

Voorlopig kunnen OM-werknemers alleen op kantoorlocaties inloggen, zijn ze niet per e-mail bereikbaar en hebben ze slechts beperkt toegang tot digitale systemen. Ze kunnen bijvoorbeeld geen dossiers bewerken of printen, zegt een woordvoerder tegen de NOS. De overheidsinstantie probeert de impact op onder meer strafzaken en zittingen naar eigen zeggen zo klein mogelijk te houden. Zo helpen rechtbanken en gerechtshoven voorlopig met het printen van de benodigde stukken. Wel is er sinds vrijdag 'incidenteel' een zitting afgelast vanwege de problemen, schrijft de NOS.

Het Openbaar Ministerie ging vrijdagochtend offline, nadat duidelijk werd dat de Citrix NetScaler-software een kritieke kwetsbaarheid bevat. Hiermee konden kwaadwillenden authenticatietokens en inloggegevens in handen krijgen. Volgens het Amerikaanse Cybersecurity & Infrastructure Security Agency wordt het CitrixBleed 2-lek actief misbruikt.

Reacties (78)

DeevieP 21 juli 2025 16:40

Het is nog maar sinds begin Juli dat het duidelijk is dat het lek effectief misbruikt wordt. De fix is al een maand beschikbaar... .

Hakker @DeevieP • 21 juli 2025 16:48

Nee het is al sinds 23 Juni bekend dat het actief misbruikt wordt. Onderzoekers zagen het al op 20 Juni zelfs maar dat het echt bekend werd was 23 Juni. De servers zijn ook al sinds ik meen 18 Juni van het internet bij het OM en dan vind ik het wel vreemd dat ze dus al schijnbaar een maand nodig hebben om de boel te patchen. Kom nog eens bij dat het nog een minimaal 2 weken gaat duren. En dan hebben we het niet eens over niet remote in kunnen loggen maar zelfs basic taken als documenten inzien, editen en printen.

Geen idee wat er ondertussen nu wel werkt bij het OM, maar dat het ondertussen al zo lang daar duurt vind ik persoonlijk best wel opmerkelijk te noemen.

GoBieN-Be @Hakker • 21 juli 2025 17:08

Het zal niet zo lang duren om te patchen, maar misschien wel om te onderzoeken waar er allemaal ingebroken is, welke data er mogelijk gelekt is, en welke persistent RAT tools er misschien geïnstalleerd zijn. Ze spreken immers van vermoeden van misbruik van het lek in Citrix NetScaler.

engessa @GoBieN-Be • 21 juli 2025 17:48

Dat niet alleen. Het is in strafzaken ook essentieel dat bewijs betrouwbaar is. Als daar aan getwifeld wordt omdat de systemen mogelijk beinvloedbaar zijn dan wordt het voeren van een rechtszaak lastig. Of als niet aan te tonen is dat het juiste formele recht (de regeltjes van de rechtspraak) is toegepast dan liggen dingen als 'vormfouten' op de loer.

cheersmate @engessa • 21 juli 2025 20:00

Het bewijs in strafzaken wordt verzameld en geleverd door de politie (of een bijzondere opsporingsdienst). Voor bepaalde onderzoekshandelingen is toestemming van een officier van justitie nodig, en soms zelfs een machtiging van de rechter-commisaris. Die toestemming zal door de politieambtenaar aan het dossier worden toegevoegd. Dat dossier vormt de basis van een strafzaak. De kans op vormfouten door de beïnvloedbaarheid van de systemen van het OM lijkt mij daarom niet heel groot.

Schway @cheersmate • 21 juli 2025 23:03

Dat is voldoende voor gerede twijfel. Niet heel groot is nog steeds wel een beetje mogelijk. Kun jij dat garanderen zonder exact te weten wat er speelt?

cheersmate @Schway • 22 juli 2025 08:44

Bij een vormfout is er procedureel iets gebeurd dat in strijd met het strafprocesrecht is en niet te herstellen is. De strafrechter kan daar een bepaald gevolg aan verbinden.

Bij de vraag of er een veroordeling volgt gaat het echter niet om de afwezigheid van gerede twijfel, dat we uit het Amerikaanse strafrecht kennen, maar om de toepassing van artikelen 348/350 Sv, met als maatstaf dat een bepaald feit wettig en overtuigend bewezen is.

In het geval van beïnvloedbaarheid van de systemen van het OM zou ik niet weten hoe de verdediging daarin enig risico op het kunnen ontstaan van een vormfout zou kunnen zien.

P_Tingen @cheersmate • 22 juli 2025 10:33

Als de belangen maar groot genoeg zijn, zal een advocaat van een verdachte alles in het werk stellen om zijn cliënt vrij te krijgen. Daar wordt hij voor betaald tenslotte. Als voorbeeld wil ik noemen de zwembadmoord in Marum, waarbij de uitspraak van de rechter in het hoger beroep te vroeg bekend werd gemaakt. De advocaat van de verdachte greep dat gelijk aan om een wrakingsverzoek in te dienen omdat de regels van de rechtspraakkunst niet goed gevolgd zouden worden.

In dit geval - praktisch gezien - volslagen flauwekul omdat het op geen enkele wijze het strafonderzoek had kunnen beïnvloeden, maar formeel gezien zat het OM fout. De advocaat greep die kans natuurlijk gelijk aan.

De rechtspraak moet van iedere twijfel gevrijwaard worden en als er ook maar de geringste twijfel is dat er mogelijk iemand iets gedaan heeft met het dossier door in te breken in het systeem, dan is het systeem kapot.

cricque @engessa • 22 juli 2025 07:35

Het probleem is er alleen als je onschuldig bent of er geen hard bewijs is, daar is het een moeilijke. Maar iemand waar er zwart op wit bewijs is dat hij wat gedaan heeft die door een fout geen straf krijgt is in mijn ogen totaal verkeerd.

Uiteraard snap ik gerust dat als het wat "kantje boordje" is, dat er een probleem kan optreden

[Reactie gewijzigd door cricque op 22 juli 2025 07:35]

Krommetenen @GoBieN-Be • 21 juli 2025 18:08

Is het offline blijven tbv het onderzoek de standaard? Wat zijn de afwegingen?

xoniq @Hakker • 21 juli 2025 16:52

De servers zijn ook al sinds ik meen 18 Juni van het internet bij het OM

'Al sinds' 18 juli (3 hele dagen).

larsk02 @xoniq • 21 juli 2025 16:57

JuNi JuLi

ZinloosGeweldig @larsk02 • 21 juli 2025 17:40

Het offline halen van de systemen van het OM geschiedde de avond van 17 juli en niet op 18 juni.

Johan9711 @Hakker • 21 juli 2025 17:20

OM had zijn netscalers al lang gepatcht.

[Reactie gewijzigd door Johan9711 op 21 juli 2025 17:21]

ZinloosGeweldig @DeevieP • 21 juli 2025 17:50

Tot nu toe is er nog geen enkele informatie beschikbaar die suggereert dat het OM de security updates niet op de dag van uitkomen geïnstalleerd heeft. Toch blijf ik die aanname in veel reacties over dit onderwerp terug zien.

Voor mij lijkt het erop, dat het OM vorige week toen Citrix IoC's bekend maakte, onderzoek gedaan heeft naar die indicators en toen ontdekte dat er voor het installeren van de beveiligingsupdates al breach plaatsgevonden heeft. Omdat dit zou betekenen dat er in die tijd mogelijk sessies gekaapt zijn naar achterliggende systemen, is overgaan op quarantaine geen onlogische beslissing.

Als het probleem alleen maar was "de updates zijn nog niet geïnstalleerd", dan waren vorige week de updates geïnstalleerd en basta.

Johan9711 @ZinloosGeweldig • 21 juli 2025 17:54

Ja klopt. Sterker nog, zoals in de reacties op het vorige artikel aangegeven door verschillende mensen, had het OM vrij vlot gepatcht. Er zijn verschillende openbare scans van netscalers die actief scannen op CitrixBleed. Daaruit bleek al vrij vlot (ik weet niet exact vanaf wanneer) dat telewerken.om.nl niet kwetsbaar was.
Met andere woorden: er is een grote kans dat de kwetsbaarheid actief is misbruikt, en ze nu een analyse doen om vast te stellen wat de impact is.

Baardmeester @DeevieP • 21 juli 2025 18:19

De NCSC heeft vrijdag zijn advisory geupdate met het advies om het IoC script te draaien. Ze kunnen gewoon in juni gepatched hebben, maar dat er nu uit de IoC is gebleken dat ze voor de patchen comprimeert zijn geweest en weet je niet of ze nog in de systemen zitten. Er zal nu een forensisch onderzoek lopen om dat vast te stellen.

GewoonWatSpulle @Baardmeester • 22 juli 2025 05:39

Dus er word nu gezocht naar DNA materiaal in zipjes?

Baardmeester @GewoonWatSpulle • 22 juli 2025 08:57

Dit is gewoon de standaard term in informatie beveiliging?

https://www.ncsc.nl/wat-doet-het-ncsc-voor-jou/forensics

TheBrut3 @GewoonWatSpulle • 22 juli 2025 09:17

Forensisch onderzoek kan ook digitaal zijn.

PhilipsFan 21 juli 2025 16:44

Dit zou toch een kwestie moeten zijn van de Citrix fix installeren en de server rebooten?

MuddyMagical @PhilipsFan • 21 juli 2025 16:46

Probleem is meer dat je moet uitzoeken of er iemand in de afgelopen tijd de bug heeft misbruikt en daardoor binnen zit. Dan is het mogelijk dat ze allerlei zaken hebben toegevoegd of aangepast. Dus je moet niet alleen de deur dichtmaken, maar ook je huis schoonmaken. En dat is heel lastig.

PhilipsFan @MuddyMagical • 21 juli 2025 16:50

Ja, dat is begrijpelijk. Ik heb zelf een checksum programmaatje, zodat ik met 1 handeling mijn hele foto- en videocollectie kan controleren op ongewenste aanpassingen, bijvoorbeeld door een virus of doordat ik per ongeluk een bestand heb weggegooid. Ik kan me voorstellen dat dat voor een grote organisatie als het OM een stuk lastiger is. Je zult alle accounts bijlangs moeten en iedereen een nieuw wachtwoord geven. En inderdaad controleren of er geen backdoors zijn geinstalleerd.

Knallmeister @PhilipsFan • 21 juli 2025 17:50

Hopelijk wordt er ook gechecked op ransomeware en keyloggers en wat dies meer zij. Kortom, full check. En dat kan lang duren. In de tussentijd hebben een aantal strafrechtadvocaten het makkelijk(er).

The Zep Man

Beveiliging en antivirus

@PhilipsFan • 21 juli 2025 17:39

Ja, dat is begrijpelijk. Ik heb zelf een checksum programmaatje, zodat ik met 1 handeling mijn hele foto- en videocollectie kan controleren op ongewenste aanpassingen, bijvoorbeeld door een virus of doordat ik per ongeluk een bestand heb weggegooid. Ik kan me voorstellen dat dat voor een grote organisatie als het OM een stuk lastiger is.

Voor het OM is het inderdaad lastig en waarschijnlijk illegaal om jouw collectie ongewenst aan te passen.

Je zult alle accounts bijlangs moeten en iedereen een nieuw wachtwoord geven. En inderdaad controleren of er geen backdoors zijn geinstalleerd.

Het is ouderwets forensisch onderzoek en hopelijk de implementatie van een nieuw systeem dat beter bestand is tegen een enkel (misbruikt) lek.

[Reactie gewijzigd door The Zep Man op 21 juli 2025 17:41]

dasiro @PhilipsFan • 21 juli 2025 17:16

absoluut niet, ondanks dat het een heel andere situatie was, kan het je wel een idee geven over de impact: als je ziet dat het meer dan een half jaar heeft geduurd eer alle diensten van Antwerpen terug beschikbaar waren, dan weet je dat dit soort systemen niet rap-rap gepatched kunnen worden, maar vaak helemaal opnieuw moeten opgezet worden om herhaling in de toekomst te vermijden.

PhilipsFan @dasiro • 21 juli 2025 17:18

Ja, dat begrijp ik, maar dat is wel een enorme scope creep. Prio 1 zou toch moeten zijn dat de systemen weer werken en iedereen weer verder kan met z'n werk. Prio 2 is dan om te voorkomen dat het opnieuw kan gebeuren. En Prio 3 is, de systemen zodanig aanpassen dat ALS het opnieuw gebeurt, de systemen snel weer beschikbaar zijn.

knurpht @PhilipsFan • 22 juli 2025 23:47

Toegangsdeur, kluis en vitrines zijn kapot, maar juwelier kan gewoon open met een paar dozen?

dasiro @PhilipsFan • 21 juli 2025 17:42

daar ga je dus de fout in: als je niet kan voorkomen dat het opnieuw gebeurt, dan ben je vanaf dag 1 dat je systemen terug online gooit direct opnieuw slachtoffer en loop je kans dat het nog erger wordt gemaakt. Het is geen verhaal dat de brede bevolking en de topmanagers willen horen, maar in het Engels "that ship has sailed" met het moment dat het gebeurd is, nu zit je in actief crisisbeheer.

Slechte analogie, maar je gaat een shoppingcenter niet terug openstellen gewoon omdat een schutter niet meer aan het schieten is, maar je zeker bent dat hij nog binnen kan zitten, leeft en wie weet met hoeveel voorraden. Je moet eerst het target veilig stellen (evacueren/de boel offline gooien), dan de dreiging wegnemen (de schutter weghalen/alle systemen op backdoors checken) en dan pas ga je terug openen (security aanwerven/veilige toegang opzetten).

Baardmeester @Krommetenen • 21 juli 2025 18:31

Zie het als quarantaine stellen bij dodelijke ziektes. Daar ga je ook ook iedere patient testen voordat je deze weer de wereld instuurt. Bij een beveiligingsincident doen je hetzelfde maar dan met servers.

dasiro @Krommetenen • 21 juli 2025 18:46

simpel gezegd: de mensen die er mee bezig zijn weten wat ze doen.

Osxy @PhilipsFan • 21 juli 2025 16:51

Mogelijk zijn ze dus breached en moeten ze dus veel meer onderzoek doen.

djspare @Osxy • 21 juli 2025 17:16

Ze hebben dus veel te lang gewacht met patchen en nu moeten ze inderdaad onderzoeken of ze niet zijn gebreached. IoC's (Indicator of Compromise) voor de CVE-2025-5777 zijn pas een paar dagen geleden bekendgemaakt. Wellicht hebben ze hier iets gezien en toen besloten de boel offline te halen.

Osxy @djspare • 21 juli 2025 17:19

Het moment van bekend worden is niet het moment van ontdekken. De kwetsbaarheid was potentieel al misbruikt voor die tijd.

Blokker_1999

Beveiliging en antivirus

@djspare • 21 juli 2025 17:54

Dat is een aanname die jij niet hard kunt maken. Het feit dat er mogelijks indicatoren zijn betekend niet automatisch dat je te laat gepatcht hebt. Citrix heeft dit lek gedicht net omdat het actief misbruikt werd. Het is dus perfect mogelijk dat het OM, en andere overheidsdiensten in NL en andere landen, al te maken hadden met dit lek nog voor er een patch beschikbaar was.

Het kan dus goed zijn dat het binnen een redelijke termijn gepatcht was maar dat men nu toch alles neerhaalt om na te gaan welke toegang men mogelijk had en hoe men die kan blokkeren.

wildhagen

Cybercrime
Beveiliging en antivirus

@PhilipsFan • 21 juli 2025 16:48

Dat is te kort door de bocht.

Zie het bronartikel bij NOS

Zij kunnen kijken of een hacker toegang heeft gekregen en of de aanvaller nog aanwezig is in de systemen.

Sure. Als blijkt dat ze niet daadwerkelijk binnen gekomen zijn kunnen ze "alles weer rebooten" en zijn ze weer in de lucht (hoewel dat natuurlijk ook weer iets meer werk is dan alleen een reboot).

Echter, als blijkt dat men wél is binnengekomen, zal men eerst moeten kijken waar ze in geweest zijn, of er data gecompromiteerd is, en indien ja, zal die uit een backup hersteld moeten worden. En je wil dan ook het bewijsmateriaal veilig stellen (zover mogelijk uiteraard), voor een eventuele vervolging.

Ik kan me voorstellen dat dat, met het aantal systemen dat een organisatie als het OM heeft, een tijdrovende klus is.

Dat kan je beter heel grondig aanpakken dan overhaasten en er straks achterkomen dat ze een backdoor hebben ingebouwd waardoor ze alsnog weer binnen kunnen komen...

R_Zwart @PhilipsFan • 21 juli 2025 22:12

Jij vertrouwt blindelings op patches die een leverancier beschikbaar stelt? Om zeker te weten dat die in een specifieke klantomgeving werkt is er iets meer werk nodig dan gelijk maar installeren. Met het OM heb ik geen ervaring maar bij andere overheidsinstellingen (maar ook bedrijven) is er een OTAP omgeving om de software uitgebreid te testen voordat het in productie gebruikt wordt. En voordag het uiteindelijk wordt uitgerold heb je nog het change process.

well0549 @R_Zwart • 22 juli 2025 07:04

Otap is niet van toepassing op een zero day

The Keymaker @PhilipsFan • 22 juli 2025 09:10

Tenzij het een verouderde netscaler versie is, die niet meer gesupport word en dus de netscaler opnieuw opgebouwd moet worden om veliig te zijn.

Luchtbakker 21 juli 2025 17:43

Als ik het goed begrijp is de citrix omgeving van de overheid vrij bereikbaar zonder VPN?
Bijzonder dat de beveiliging bij de overheid slechter is dan bij banken en verzekeraars.

TheMak @Luchtbakker • 21 juli 2025 18:11

Ik denk dat beveiliging door een VPN relatief is als er 10000+ gebruikers er toegang toe hebben

Luchtbakker @TheMak • 21 juli 2025 18:40

Ik denk dat beveiliging door een VPN relatief is als er 10000+ gebruikers er toegang toe hebben

Ja en nee.

Ja, je kunt er dan evengoed bij. Nee, want een device is gekoppeld aan een persoon en gebruikt wordt gelogd.

Als je vervolgens VPN beperkt tot enkel laptops die gekoppeld zijn aan het AD van de organisatie, kan je bijna onmogelijk nog via andere wegen bij een Citrix omgeving komen.

Vaak zijn Citrix omgevingen ook een policy zodat je niet zonder reden bij zo'n omgeving kan komen.

TheMak @Luchtbakker • 21 juli 2025 19:14

Ik zit te twijfelen of die 10000 allemaal integer zijn. En met vervolgens een memory leak kan je er ovveral bij

Rolfie

@Luchtbakker • 21 juli 2025 19:32

Dus je gaat er vanuit dat alle endpoints in de AD zitten van je organisatie.

Of dat alle endpoints zomaar een VPN client hebben en mogen hebben. Dat een endpoint zomaar met een vreemd netwerk mag verbinden.

Maar welke VPN dan, Cisco heeft gaten, PaloAlto heeft gaten, Pulse VPN heeft gaten. Hoe ga jij er mee om, als je VPN concentrator vulnerabilities heeft?

Juist de Citrix NetScaler of Citrix is hiervoor bedacht, dat je al dit soort rompslomp nodig hebt.

Blokker_1999

Beveiliging en antivirus

@Luchtbakker • 21 juli 2025 18:04

Het zijn o.a. loadbalancers, die wil je net op je edge hebben zitten. Het is perfect mogelijk om je VPN verbinding te loadbalancen met behulp van een Netscaler. Het is ook mogelijk om diezelfde Netscaler net in te zetten als VPN oplossing. Dus geen idee hoe jij er bij komt dat banken en verzekeraars automagisch een betere beveiliging hebben zonder de architectuur van zowel het OM en van een gemiddelde bank te kennen.

R_Zwart @Luchtbakker • 21 juli 2025 22:13

Je begrijpt het niet goed. De beveiliging is bij de overheid niet slechter.

gitaarwerk 21 juli 2025 17:06

Ongetwijfeld een -1 waard, maar toen ik het nieuwsbericht eerder deze week las, over mogelijk lek, en erna: "Citrix"... kon ik alleen maar bedenken: "duh". Er zijn zo ontzettend veel leks met de services van dit bedrijf dat ik echt heel veel vraagtekens zet waarom dit in hemelsnaam daar gebruikt wordt.

Maar, wanneer alles netjes wordt bijgehouden, goed is afgedicht, zou je zeggen dat, bij incident, heel snel gefixed zou moeten zijn.

Zeker software als netscaler, zijn genoeg alternatieven van niet Amerikaanse makelaardij. Backdoors zijn er eerder gevonden. Ik vind het tricky... en ik weet het, het is altijd achteraf makkelijk praten.

Paul @gitaarwerk • 21 juli 2025 17:55

Voor Citrix Netscaler zijn niet "zo ontzettend veel leks", ze worden vooral groots uitgemeten. En dat komt weer omdat die dingen zowat OVERAL gebruikt worden. De concurrenten hebben ook gewoon CVE's, maar daar hoor je niemand over, want die hebben veel minder impact, want ze worden veel minder gebruikt. Dat werkt overigens ook de andere kant op, omdat Netscalers zoveel gebruikt worden zijn er ook heel veel mensen op zoek naar kwetsbaarheden.

Wij gebruiken ook nog altijd naar volle tevredenheid Netscalers. Ja, je moet ze af en toe patchen, maar dat moet je met alles. Ondertussen zijn ze retestabiel, bloedsnel, een stuk goedkoper dan hun grootste concurrent, super betrouwbaar, en beveiligen ze de achterliggende infrastructuur uitstekend.

Als ze echt zo slecht waren als jij nu denkt, waarom gebruiken de OM'men en US DoD's van deze wereld ze dan zo veel?

kodak

Cybercrime
Beveiliging en antivirus

@Paul • 22 juli 2025 08:30

Als iemand stelt naar volle tevredenheid een leverancier te hebben, met beweringen dat ze uitstekend beveiligen en super betrouwbaar en goedkoop zijn, dan vraag ik me af aan welke wettelijke eisen dat dan voldoet waar de klant niet alleen voor zichzelf maar vaak ook heel veel andere personen aan moet voldoen.

Wat is er betrouwbaar aan producten van de leverancier terwijl de kwaliteit herhaaldelijk niet aan de gestelde eisen voldoet zodat je als klant niet aan de wettelijk voldoet? Waarvan de patches niet duidelijk op tijd uit komen om het serieus misbruik te voorkomen en je als klant zelf de wet aan het overtreden bent? En waarbij de kennis en mogelijkheden om als klanten misbruik van de gebrekkige kwaliteit ook niet zomaar op tijd en gedetailleerd genoeg beschikbaar is?

Ja, dat gaat natuurlijk ook op als een andere bedrijf je leverancier is. Maar wettelijk gaat het om deze relatie. Hun apparatuur, software, updates en informatie moet voldoen. Als de leverancierr onwettige problemen veroorzaakt is dat gewoonlijk al reden om hardere eisen te stellen en te laten nakomen. En als men meerdere keren geen verbetering toont om ze dan zwaar aansprakelijk te stellen. Niet om er dan maar gebruik van te blijven maken alsof het normaliseren belangrijker is.

[Reactie gewijzigd door kodak op 22 juli 2025 08:34]

Paul @kodak • 22 juli 2025 08:50

Welke wettelijke eisen heb je, en waarom denk je dat het niet voldoet?

Wat is er betrouwbaar aan producten van de leverancier terwijl de kwaliteit herhaaldelijk niet aan de gestelde eisen voldoet

Waar heb je het over? Dat een product CVE's heeft en de leverancier ze patcht wil niet zeggen dat het product onbetrouwbaar is of niet aan de eisen voldoet. Heb je wel eens gekeken welke CVE's de concurrenten hebben? Welke CVE's ALLE software heeft? Je kunt de Netscaler de deur uit doen en er iets anders voor in de plaats zetten, maar guess what, dat product heeft ook CVE's...

Het feit dat iets CVE's heeft wil niet zeggen dat het een slecht product is...

[Reactie gewijzigd door Paul op 22 juli 2025 09:52]

kodak

Cybercrime
Beveiliging en antivirus

@Paul • 22 juli 2025 09:24

Ik stel juist de vraag aan welke eisen het zou voldoen. Jij bent degene die stelt dat ze uitstekend beveiligen en super betrouwbaar en goedkoop zijn zonder aan te tonen waar het aan voldoet.

Je bent als klant verantwoordelijk zelf van de (wettelijke)eisen bewust te zijn en deze duidelijk toe te passen bij aanschaf, gebruik en problemen. Veel van deze systemen beschermen zeer persoonlijke en belangrijke gegevens. Alleen al volgens de AVG dien je daar controle, en dus over de kwaliteit van deze apparatuur, software en diensten te hebben zodat ze constant te beschermen. Met een zero day of ander beveiligingslek voldoet dat wettelijk al niet, laat staan als de leverancier dat meerdere keren maar veroorzaakt net als de genoemde situaties.

Dit soort kritische vragen ontwijken en de kritische opmerkingen ongewenst te noemen is te simpel. Zeker als we dat doen om liever tevredenheid te verkondigen zonder inhoudelijke besef van eisen en plichten naar vele afhankelijke personen of de maatschappij.

Paul @kodak • 22 juli 2025 10:04

Oh, je vraagt aan mij aan welke wettelijke eisen de Netscaler voldoet? Dat is een hele brede vraag, maar is voor het doel van deze discussie voldoende te zeggen dat het FIPS 140-2 compliant is, en ze bezig zijn met FIPS 140-3?

En, ik draai graag de boel om:

Met een zero day of ander beveiligingslek voldoet dat wettelijk al niet

, los van of je statement waar is of niet, noem mij één apparaat dat geen zero days of beveiligingslekken heeft?

Spoiler, dat bestaat niet. En gelukkig snapt de wetgever dat ook. De AVG heeft een inspanningsverplichting, in plaats van onredelijke of zelfs onmogelijk eisen als: "er mag nooit een zero day of ander beveiligingslek zijn". Die inspanningsverplichting houdt wel in dat als deze er wel zijn, je je in moet spannen om deze te verhelpen.

Blokker_1999

Beveiliging en antivirus

@gitaarwerk • 21 juli 2025 18:01

Welke alternatieven zijn er die geen lekken bevatten?

En een lek wordt vaak misbruikt voor het opgelost is, het is regelmatig net het misbruik van een bug dat de maker van de software in staat stelt het probleem te identificeren en op te lossen. Spijtig genoeg heb je dan al slachtoffers. Dan mag je nog bij de beste en snelste zijn om te patchen, dan kan je gewoon al te laat zijn. En dat is zo met alle software.

Aalard99

21 juli 2025 16:39

Ik vind dit toch wel bijzonder. Ik snap dat we hier te maken hebben met een zeer gevoelige IT omgeving die niet standaard is maar de impact op de organisatie is enorm.

Zeker als je beseft dat het niet de eerste keer is dat het OM problemen heeft, dit speelt al jaren en is blijkbaar nog steeds niet onder controle.

Moet behoorlijk frustrerend zijn voor de medewerkers daar.

Blokker_1999

Beveiliging en antivirus

@Aalard99 • 21 juli 2025 18:00

Dus een bug in software van een vendor waarvan je pas 4 weken na het patchen de mogelijkheid krijgt om na te gaan of er misbruik is gemaakt, daarbij iets verdachts detecteerd en daarop kunt reageren is bewijs dat het OM de boel niet onder controle heeft?

Het lijkt me net dat alles net wel goed werkt zoals het hoort. Men heeft dus heel snel na het vrijgeven dan de indicatoren van misbruik kunnen detecteren dat er mogelijks misbruik is gemaakt en heeft daarop het systeem stilgelegd, zoals het hoort. Dat daarna de audits tijd in beslag nemen lijkt mij ook niet abnormaal.

Dit soort incidenten is frustrerend voor alle betrokken partijen. En de enige reden dat we er over horen is net omdat het om een publieke dienst gaat. Hoevel andere bedrijven zijn er niet getroffen waarvan we niets horen omdat het private bedrijven zijn?

kodak

Cybercrime
Beveiliging en antivirus

@Blokker_1999 • 21 juli 2025 18:25

Alleen de AVG al stelt al dat je controle moet hebben. Dit gaat niet alleen om na verloop iets kunnen controleren maar juist ook om de afhankelijkheid van leveranciers om de belangrijke gegevens te beschermen.

Dit is niet de eerste keer slaat ook op het probleem dat dit niet het eeste grote probleem met de geleverde producten en diensten is waarmee er voor gebruikers en afhankelijke personen enorm veel op het spel staat en er weinig controle blijkt over de kwaliteit van de leverancier(s).

[Reactie gewijzigd door kodak op 21 juli 2025 18:26]

DaKluit @kodak • 21 juli 2025 19:49

Er is geen enkele garantie dat je dit soort systemen zelf beter kan bouwen.

kodak

Cybercrime
Beveiliging en antivirus

@DaKluit • 22 juli 2025 09:01

Ik stel niet dat het dus maar zelf gebouwd moet worden. Dit gaat om kwaliteit eisen van de leverancier en genoeg controle nemen dat die leverancier aansprakelijk is en geen problemen blijft veroorzaken zoals onwettige situaties die heel veel personen en grote belangen geen recht doet.

Aalard99

@Blokker_1999 • 21 juli 2025 18:50

Mijn punt is dat dit niet het eerste incident is waar het OM mee heeft te maken. Het is al jaren kommer en kwel met de IT omgeving, dit is het zoveelste incident dat impact heeft op de gebruikers.

Ik snap dat incidenten voorkomen en dat dit een zeer gevoelige omgeving is maar dit moet toch echt beter kunnen.

William_H @Aalard99 • 21 juli 2025 19:06

Ik zei dit ook al in de comments van het vorige nieuwsbericht over dit probleem.

Maar blijkbaar mag je het OM hier op Tweakers niet "aanvallen" op hun IT chaos. Of zijn medetweakers hier niet van op de hoogte? Lijkt mij toch sterk door alle berichtgeving hier op de site.

cheersmate 21 juli 2025 16:54

Het gaat hier om de organisatie die niet alleen het monopolie heeft op het vervolgen van strafbare feiten, maar ook leiding geeft aan nagenoeg alle opsporingsonderzoeken in Nederland. Het is daarom ook te hopen dat die onderzoeken niet gehinderd worden door dit probleem.

Krommetenen @cheersmate • 21 juli 2025 18:17

“Doctors make the worse patients”

Je zou als Cyber Security maar te doen hebben met al die onderzoekbetweters.

andreas_f 21 juli 2025 17:01

En misschien is dit wel gebeurd in opdracht van een zeer bekend iemand die momenteel in de gevangenis zit? Of een ander? Schrikbarend de gedachte wat er allemaal zou kunnen gebeuren.

HollowGamer @andreas_f • 21 juli 2025 19:14

Die persoon krijgt dan één jaar straf of het kan niet worden bewezen dat hij/zij heeft deelgenomen eraan.

Maar de kans is er zeker, het kan ook van een land of staat zijn.

Triblade_8472 21 juli 2025 18:19

Die goeie oude tijd dat er nog alleen een ICA proxy was, gratis en zonder Netscaler eromheen.

Volgens mij een berg minder bugs en functies: geweldig.

Nieuw is niet beter. Zeker niet als je een peperduur product koppelt aan iets wat geweldig is/was. Het product heeft altijd bomvol bugs gezeten, de een grafisch en de andere beveiligingstechnisch.

Hopelijk zet dit Citrix eens aan het denken de pure ICA proxy weer terug te brengen, gewoon in de VAD licenties. Wensdenken van mij, absoluut.

Rolfie

@Triblade_8472 • 21 juli 2025 19:33

Dat noemen ze cloud tegenwoordig.

Vicje 21 juli 2025 19:08

Wat overigens onderbelicht is, is dat ook Microsoft Sharepoint Server on premise een bug bevat waardoor bij ministeries Sharepoint plat ligt en er niet gewerkt kan worden. Totdat Microsoft een update heeft uitgebracht voor de on premise versie. Een lek wat overigens al actief misbruikt schijnt te worden.

yevgeny 21 juli 2025 17:56

"Zo helpen rechtbanken en gerechtshoven voorlopig met het printen van de benodigde stukken."

Scheiding tussen OM en rechtbank blijkt in de praktijk dunner dan verwacht.

Zou een verdachte of raadsman op dezelfde service van een rechtbank kunnen rekenen wanneer zijn/haar IT onbruikbaar is geworden ?

Pirate-Bozz @yevgeny • 21 juli 2025 18:17

Lijkt mij dat een verdachte baat heeft bij een zo soepel mogelijk proces?

Komt ook vaker voor dat een advocaat niet alle stukken heeft, die krijgt dan ook een printje.

Iets met een mug en olifant dus...

Isnowiz @yevgeny • 21 juli 2025 20:23

Je snapt dat het OM bewijslast moet aanleveren voordat een rechter ergens over kan oordelen?

> Zou een verdachte of raadsman op dezelfde service van een rechtbank kunnen rekenen wanneer zijn/haar IT onbruikbaar is geworden

(straf-)dossiers zijn toegankelijk voor procespartijen en raadslieden via Mijn Rechtspraak.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (78)

Sorteer op:

Weergave: