Knops over Citrix-kwestie: elk departement zelf verantwoordelijk voor beveiliging

Van Dam wilde in juli weten of de situatie rondom de Citrix-kwestie helemaal onder controle is, nadat duidelijk werd dat minstens 25 organisaties werden gehackt naar aanleiding van het Citrix-lek. De NCSC adviseerde forensisch onderzoek, om eventuele uitbuiting uit te sluiten.

Binnen het Rijk geldt de afspraak dat nieuwe dreigingen gedeeld worden. “Op basis van de mij nu bekende informatie zijn rijksoverheidsorganisaties in control naar aanleiding van het Citrix incident waar de Volkskrant op 1 juli over berichtte”, aldus Knops.

Zelf verantwoordelijk

Knops wijst er echter op dat elk departement zelf verantwoordelijk is voor het op orde hebben van de eigen informatiebeveiliging. Hij wijst ook op toezeggingen die zijn gedaan naar aanleiding van de evaluatie van het Citrix-incident en het WRR-rapport ‘Voorbereiden op Digitale Ontwrichting’.

De Rijksoverheid gaat aan de slag met ‘pas toe of leg uit’ principes. “Organisaties binnen de Rijksoverheid moeten dan bij dringende beveiligingsadviezen van het NCSC aan de CIO Rijk uitleg geven wanneer zij deze niet opvolgen.”

Cyber Security Raad wil meer maatregelen

De Cyber Security Raad gaf in september aan dat hij graag de huidige maatregelen voor cybersecurity in Nederland aangescherpt en uitgebreid ziet worden. Volgens de Raad is de cyberweerbaarheid van ons land nog niet overal voldoende op orde, waardoor Nederland kwetsbaar is. De Raad wil onder meer dat de informatieuitwisseling tussen diverse partijen verbeterd wordt en dat het Landelijk Dekkend Stelsel sneller uitgerold wordt.

In juli werden nog 11 kwetsbaarheden in dezelfde Citrix-producten ontdekt waar vlak voor kerstmis vorig jaar een kritiek beveiligingsgat in werd geopenbaard. De leverancier verklaarde over de nieuwe reeks kwetsbaarheden dat die niet zijn gerelateerd aan CVE-2019-19781, de kwetsbaarheid van eind vorig jaar.