Wat we van het Citrix-lek kunnen leren

Het is je vast niet ontgaan: Citrix heeft een ernstig beveiligingslek waar nog geen volledige oplossing voor is. Organisaties met Citrix-oplossingen zijn op dit moment erg kwetsbaar voor aanvallen. Om ernstige gevolgen zoals dataverlies te voorkomen, hebben veel Nederlandse organisaties hun Citrix-servers uit de lucht gehaald. Met als gevolg dat medewerkers massaal niet meer thuis konden werken en de nieuwe term ‘Citrix-files’ ontstond.

Wat is er nu precies gebeurd? En hoe kun je als organisatie voorkomen dat je moet kiezen tussen mogelijke aanvallen en het verlies van je thuiswerkplek? Onze CTO Rik van Berendonk licht de situatie toe en geeft advies.

De feiten op een rijtje

Allereerst is het goed om te weten wat er nu precies gebeurd is. Citrix werd in december van afgelopen jaar gewezen op een kwetsbaarheid in hun oplossingen Citrix Application Delivery Controller en Citrix Gateway. Deze fungeren als firewall en load balancer, oftewel houden aanvallen buiten en verdelen de thuiswerkers over de verschillende Citrix-servers. Geen onbelangrijke oplossingen dus. 

Naar aanleiding van deze melding bracht Citrix op 17 december een ‘report’ naar buiten. Bijna een maand later, op 16 januari, kwam Citrix met een uitgebreider bericht omdat de mitigerende maatregelen uit het eerste report helaas onvoldoende werkten.

Het Citrix-lek kwam vervolgens pas echt onder de publieke aandacht toen het Nationaal Cyber Security Centrum (NCSC) afgelopen vrijdag het advies gaf om Citrix-servers uit te zetten. Het centrum raadde andere risicobeperkende maatregelen alleen aan na een grondige risicoanalyse en met intensieve monitoring.

Veel organisaties gaven gehoor aan dit dringende advies van de het NCSC en in de media werd dit nieuws natuurlijk breed uitgemeten. Bovendien waren er ondertussen al organisaties de dupe geworden van dit lek.

Hoe heeft dit nu kunnen gebeuren? Citrix geeft aan correct gehandeld te hebben door hun gebruikelijke procedure te volgen. Bovendien worden ze heel vaak gewezen op (kleine) beveiligingslekken en is paniek dus niet meteen nodig.

Het klopt dat mensen vaak lekken ontdekken, en zeker niet alleen bij Citrix. Je moet je goed realiseren dat je nooit 100 procent veilig bent. Zo zwart-wit is cybersecurity niet. Je kunt niet elk mogelijk lek of elke mogelijke manier van misbruik voorkomen. Het is nooit de vraag óf, maar wanneer er een lek ontdekt wordt. Natuurlijk is het wel belangrijk dat je bij een ernstig lek direct en adequaat handelt.

Normaalgesproken loopt het proces ongeveer als volgt: 

1. Het lek wordt gemeld bij het bedrijf.
2. Het bedrijf maakt meteen werk van het oplossen van het lek
3. Het bedrijf komt zo snel mogelijk met een patch, meestal binnen een maand
4. Het bedrijf publiceert dezelfde dag als de patch een report waarin zij het lek publiekelijk maakt   In het geval van het Citrix-lek is het toch net anders gelopen.

Risicoanalyse

Ook voor grote spelers zoals Citrix is het dus niet altijd mogelijk om de impact van een lek meteen in te schatten en snel met een volledige oplossing te komen. Vandaar dat het nog steeds de verantwoordelijkheid van organisaties zelf is om zich zo goed mogelijk op dit soort situaties voor te bereiden. Want natuurlijk zit niemand te wachten op een datalek of medewerkers die niet kunnen werken. Hoe voorkom je dat je van soortgelijke lekken de dupe wordt?  

Het is vooral belangrijk dat je een goede risicoanalyse doet. Tijdens een risicoanalyse kijk je naar de kans dat iets gebeurt en de schade die het zou opleveren als het gebeurt. Als het risico van een softwarelek niet acceptabel is, kun je de impact van de schade of de kans hierop verkleinen.

Wil je de impact van een dergelijk lek verkleinen, dan kun je op drie manieren aan risicospreiding doen. Je kunt je ict-infrastructuur in kleinere segmenten opdelen zodat de gevolgen van een lek beperkt blijven tot één segment. Ook kun je meerdere lagen van beveiliging toevoegen, door bijvoorbeeld een extra firewall van een andere leverancier toe te voegen. Daarnaast kun je zorgen dat niet iedereen afhankelijk is van het systeem. In het geval van een Citrix-lek zou dit betekenen dat je (ook) een cloudwerkplek hebt, zodat je medewerkers ook op een andere manier plaatsonafhankelijk kunnen werken.

De kans op lekken in software verklein je doorgaans door op tijd te patchen. In dit geval hielpen de beschikbare patches wel bij het beperken van de risico’s, maar losten ze helaas het probleem tot nu toe nog niet volledig op.

Handen in het haar

Jammer genoeg is er op dit moment dus nog geen volledig sluitende oplossing voor het Citrix-lek. De verwachting is wel dat in de komende dagen alsnog patches uitkomen voor alle versies van de getroffen software. Voor een aantal organisaties In de meeste gevallen zal het uitzetten van de Citrix-servers nu nog de beste maatregel zijn. Het uitschakelen van een belangrijk systeem is natuurlijk een lastige beslissing. Wij helpen onze klanten constant met het maken van dit soort afwegingen. Natuurlijk kunnen we ook in noodgevallen van hulp zijn. Zit je door het Citrix-lek met de handen in het haar? Neem dan even contact met ons op, dan bekijken we wat we voor je kunnen doen.