image

Grapperhaus: Nederland geprezen voor Citrix-aanpak

dinsdag 21 januari 2020, 17:08 door Redactie, 17 reacties

Enkele overheden van grote bevriende naties hebben Nederland geprezen voor de manier waarop het omging met het beveiligingslek in Citrix, zo heeft minister Grapperhaus van Justitie en Veiligheid laten weten tijdens het mondelinge vragenuur in de Tweede Kamer.

De minister reageerde op vragen van D66-Kamerlid Kees Verhoeven. "Enige maanden geleden stonden wij hier ook. Toen noemde de minister van Justitie en Veiligheid elk bedrijf dat zijn digitale beveiliging niet op orde heeft, een "ongelofelijke oliebol". Heeft de minister het allemaal zelf wel op orde, vraag ik me nu af. De eerste vraag die ik hem daarom stel is: is de minister van Justitie en Veiligheid nu zelf een ongelofelijke oliebol? En zo nee, waarom niet?", stelde Verhoeven de vraag.

Volgens Grapperhaus hebben de overheidsdiensten de afgelopen jaren zeer grote stappen gemaakt als het gaat om het goed monitoren van wat er in de digitale wereld van de rijksoverheid en de vitale infrastructuur gebeurt. "Ik wil dat niet op mijzelf laten afstralen. Ik wil natuurlijk graag aan het eind van deze kabinetsrit ook niet als oliebol worden beoordeeld door de heer Verhoeven", antwoordde de minister.

"Het is wel saillant dat enkele overheden van grote bevriende naties het compliment hebben gemaakt dat het NCSC, de NCTV, maar ook de rijks-CIO, de Chief Information Officer voor het Rijk, in hun handelen aanzienlijk voorliepen op wat er in andere landen aan actie werd ondernomen", ging Grapperhaus verder. Ondanks de complimenten is het volgens de minister belangrijk om te beseffen dat Nederland niet goed voorbereid is op digitale ontwrichting, zoals de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) eerder liet weten.

"De WRR zegt: het is niet een kwestie óf het gebeurt, maar je moet voorbereid zijn áls het gebeurt. We zullen natuurlijk ook gaan evalueren hoe het hier gegaan is: hebben we dat goed aangepakt? Ook zullen we kijken wat de implicaties zijn voor het cyberbeleid. Ik zeg nu vast toe dat ik dat meteen meeneem in de brief aan uw Kamer — die is aangekondigd voor maart — over de beleidsreactie op dat WRR-rapport."

Over de kosten van het incident kan en wil Grapperhaus nog niets zeggen. "Het moge duidelijk zijn dat dit inderdaad een schadepost oplevert; daar moeten we heel duidelijk over zijn. Maar het allerbelangrijkste is dat de onder mij ressorterende diensten samen met de onder BZK ressorterende diensten alert en actief in zo'n crisis optreden en natuurlijk geen maatregelen nemen die onnodig schade en kosten opleveren."

Reacties (17)
21-01-2020, 17:40 door Anoniem
Ik hoop dat de discussie verder niet alleen gaat over hoeveel het gekost heeft om op dit incident te reageren, maar ook de mogelijke kosten meeneemt als er daadwerkelijk een succesvolle aanval is geweest.
21-01-2020, 18:03 door Anoniem
Geprezen? NCSC heeft misinformatie uitgebracht dat vertelde dat de voorgestelde citrix mitigatie niet zou werken voor alle versies. Hierdoor hebben veel overheidsinstanties hun citrix ADC servers onnodig uitgezet wat ontzettend veel geld heeft gekost. Pas vrijdagavond heeft het NCSC hun artikel aangepast waarin stond dat het alleen om enkele zeer verouderde versies ging, toen was het al te laat en stond het vrijwel overal al uit. Er zijn nog steeds geen exploits die de voorgestelde mitigatie van 17 december van citrix kunnen omzeilen. Als je in December die mitigatie hebt doorgevoerd is er niks aan de hand en voldoet die prima totdat de patch uitkomt. Een hoop FUD voor niks.

Dat veel partijen op hun servers niet tijdig de mitigatie hebben doorgevoerd (na vele waarschuwing van meerdere instanties) of zeer verouderde versies van de software draaiden is een heel ander issue en moet intern bij de betreffende organisaties worden opgelost.
21-01-2020, 18:06 door Anoniem
Gefeliciteerd Ferdinand Grapperhaus!

Zoals gitarist van David Bowie, Reeves Gabrels, zong: "You're the leper with the most fingers"
https://www.youtube.com/watch?v=SjtkIxHaqy4

Ofwel, Nederland is dat. Internet is nog steeds lek.
21-01-2020, 19:11 door Anoniem
Tja het nemen van verregaande maatreglen is bewindslieden niet vreemd natuurlijk. Het zekere voor het onzekere nemen
om op die manier het eigen hachje te beschermen en op het pluche te kunnen blijven.
Daarom liever alles afsluiten dan nuchter de situatie analyseren, stel je voor dat er toch wat gebeurt dan kun je aftreden.
In die zin was het Nederlandse optreden prima, het beschermt de zittende verantwoordelijken. Dat het meteen ook het
werk tot stilstand bracht, ach "niet mijn probleem".

Zo gaat dat overal. Daarom staan we allemaal in de file voor de tunnel. Want 20 jaar geleden vloog er een vrachtwagen
in brand in een file in een tunnel, en daarom mag er nu nergens meer een file in een tunnel ontstaan. Dan nog liever in
de spits de tunnel afsluiten. Want stel je voor (kans 0.00000001%) dat er wat fout gaat, dan ben je je baantje kwijt.
En laat die mensen maar wachten, de lucht vervuilen, en hun koppelingsplaten verslijten.
21-01-2020, 19:53 door [Account Verwijderd]
"Ik wil dat niet op mijzelf laten afstralen. Ik wil natuurlijk graag aan het eind van deze kabinetsrit ook niet als oliebol worden beoordeeld door de heer Verhoeven"

Dat is rijkelijk aan de late kant, meneer Grapperhaus, en het laat wederom zien dat je een politicus bent en geen technofiel zoals se meeste onder ons. En je luistert ook nog steeds veel te veel naar wat ze aan het bekokstoven zijn in de VS.
21-01-2020, 20:49 door Anoniem
Ik denk juist dat de NCSC heeft laten zien, hoe onprofessioneel ze kunnen zijn. De overheid heeft hier juist een flater geslagen met hun adviezen.
Ze waren de enige die advies gaven om Citrix server uit te schakelen.
Gaven verkeerde informatie op hun website. Diverse maken. Zelfs het huidige advies straalt geen heel duidelijk advies.

Ze hebben meer ellende veroorzaakt, dan Citrix zelf. Ik ben meer tijd bezig geweest met management meetings in de organisatie, dan de patch activeren. Eigenlijk alleen maar door het NCSC advies
21-01-2020, 21:41 door Anoniem
dit is toch een grap van het huis? deze man verzint het waar hij bij staat .
21-01-2020, 22:11 door souplost
Krokodillen tranen. Laat ze maar vloeien. De politiek begint zich ineens druk te maken om ICT. Dat hadden ze bij Nederland open in verbinding moeten doen. Dan zouden we nu niet zijn opgezadeld met al die gesloten traag gepatchte systemen en ongevoelig zijn geweest voor al die geldverslindende windows malware incidenten. Het argument van de grote aantallen is door de praktijk al van tafel geveegd.
Linux is de meest gebruikte kernel ter wereld en als OS meest gebruikt in Microsoft Azure. Verlos je van de verslaving en investeer in open vrij en transparantie. Stop met het geld overmaken naar Amerika en investeer lokaal en Europees.
22-01-2020, 01:14 door Anoniem
... Nederland geprezen voor de manier waarop het omging met het beveiligingslek in Citrix.
Laat me niet lachen.
Nederland, systeembeheerders, lagen te slapen op 16 dec 2019.
Toen werd er al gewaarschuwd voor het gat in Citrix servers maar is er niets aan gedaan.
Er is nix om jezelf voor op de borst te kloppen als je pas een maand later alles maar uit zet om uit problemen te komen.
Wakker worden Grapperhaus :-)
tsssss
Wat is het toch met die ministers van Justitie die gewoon never nooit niet ook maar iets van ict begrijpen.
Korthals, Donner, Balin, Opstelten hahahha, Grapperhaus .... zucht.
22-01-2020, 07:21 door Anoniem
Schud meewarig zijn hoofd. Wetende dat het een bende is.
22-01-2020, 07:37 door Anoniem
Het is nog een beetje te vroeg in 2020 om nu al te juichen voor een recente alert van NCSC tav een risico dat al maanden bekend was.. Maw: het is gewoon wachten op de volgende Hack #woensdaggehackeddag. En we hoeven zeker niet tot 31.12.20 te wachten op de #oliebollen :) (edited)
22-01-2020, 09:44 door Anoniem
Door Anoniem: Ik denk juist dat de NCSC heeft laten zien, hoe onprofessioneel ze kunnen zijn. De overheid heeft hier juist een flater geslagen met hun adviezen.
Ze waren de enige die advies gaven om Citrix server uit te schakelen.
En wat maakt dat uit of ze de enige waren? Het gaat er toch niet om of ze de enige waren maar of je het advies wil opvolgen? Als bijna niemand tegen je zegt dat je er brand is en een ander dat wel doet, wat is dan het excuus om de meerderheid te volgen?

Gaven verkeerde informatie op hun website. Diverse maken. Zelfs het huidige advies straalt geen heel duidelijk advies.
Laat maar zien wat er echt fout was en waarom dan. Nog geen voorbeelden op security.nl gezien dat het niet zou kloppen.

Ik ben meer tijd bezig geweest met management meetings in de organisatie, dan de patch activeren. Eigenlijk alleen maar door het NCSC advies
Dat die meetings langer duren dan patchen daar ben je toch zelf bij? Dus die zullen niet voor niets zijn geweest anders was je al gaan patchen. De duur zegt niets over de kwaliteit.
22-01-2020, 13:48 door Anoniem
De berichtgeving door de diverse overheidsinstanties was niet eenduidig en ongecontroleerd. Daarnaast lijkt het er ook niet op dat men iets gedaan heeft aan het checken van de facts. Binnen onze organisatie waren wij er vroeg bij, maar werd het een shitstorm toen de diverse instanties gingen roepen. Onze klanten en wij zelf zijn niet geraakt, zonder de boel uit te zeten.
22-01-2020, 15:05 door Anoniem
Geprezen voor goede aanpak. Dit is toch zeker cynisch bedoeld. Er was juist een slechte aanpak bij zowel NCSC en sommige overheidsinstanties en bedrijven. Als direct in december de mitigatie op advies van Citrix was opgevolgd en uitgevoerd, dan was er niets aan de hand geweest. Wij zijn een relatief klein ICT bedrijf en hebben direct deze mitigatie uitgevoerd op onze Citrix Netscalers en hebben ze later ook niet uit hoeven te zetten. Onze klanten konden prima doorwerken.

We hadden alleen maar "last" van en overigens wel terecht ongeruste klanten door de media. Zij vroegen zich af of we ook niet de Citrix Netscalers uit moesten gaan zetten. Ze vonden het raar dat wij ze aanlieten, terwijl hele grote instanties en bedrijven ze juist uit gingen zetten. Deze ongerustheid werd mede veroorzaakt door NCSC en de media. Over de kwaliteit van dit advies valt dan ook zeker te twisten en in onze ogen kon deze informatievoorziening beter.

Tevens zijn wij in de beveiliging niet alleen afhankelijk van alleen Citrix en gebruiken we daarnaast een ander merk firewall(s) die in ons geval er transparant tussen staat. Dit zorgt voor extra beveiliging door o.a. antivirus en Intrusion Prevention System. Ook kunnen we indien nodig direct een landenblokkade opwerpen om zo de risico’s verder te beperken.

Vreemd dat wij als zo’n relatief kleine ICT speler dit beter voor elkaar lijkt te hebben dan zulke grote overheidsinstanties en bedrijven. Tuurlijk wij kunnen dynamischer en flexibeler handelen, maar wij hebben hier in het begin met het ontwerp van de infrastructuur al rekening mee gehouden. Daarbij wil je, volgens mij met security, ook niet afhankelijk zijn van 1 systeem of 1 merk. Maar goed iedereen denkt hier anders over, als er maar in ieder geval goed over na wordt gedacht.

Een voordeel is wel dat Nederland nu is wakker geschud en nu hopelijk actiever reageert op adviezen van o.a. leveranciers en nu nog beter naar de beveiliging gaat kijken. Ander voordeel is dat bijna alle Netscalers wereldwijd zometeen op de laatste patches draaien.

We moeten hier met zijn allen kritisch naar kijken en vooral leer uittrekken. En roepen dat het allemaal zo goed was gegaan, kun je je afvragen, want dan was er ook geen advies gekomen om de Citrix Netscalers uit te zetten.
22-01-2020, 15:51 door Anoniem
Nederland, systeembeheerders, lagen te slapen op 16 dec 2019.
Toen werd er al gewaarschuwd voor het gat in Citrix servers maar is er niets aan gedaan.

Deze URL's vertellen hetzelfde verhaal.

15 januari 2020, 17.31 uur:
https://www.at5.nl/artikelen/199472/gemeente-niet-bezorgd-om-kwetsbaarheid-in-citrix-server

20 januari 2020, 09.17 uur:
https://www.at5.nl/artikelen/199551/gemeente-neemt-maatregelen-en-maakt-weer-gebruik-van-citrix

Op de 15e had ik al een voorgevoel dat er binnen dan en no-time het tweede artikel zou komen.
22-01-2020, 22:57 door Anoniem
Leuk dat de minister in Nederland zich daar vrolijk over maakt - maar in feite zou het zover nooit zijn kunnen komen had men wat minder wild met de IT-wereld omgegaan en vanuit de overheden met openbare standaarden de markt gedwongen om veiliger te werken.
23-01-2020, 23:03 door Anoniem
Door Anoniem: Leuk dat de minister in Nederland zich daar vrolijk over maakt - maar in feite zou het zover nooit zijn kunnen komen had men wat minder wild met de IT-wereld
Heeft er niets mee te maken.

omgegaan en vanuit de overheden met openbare standaarden de markt gedwongen om veiliger te werken.
Sorry openbare standaarden hadden het niet veiliger hoeven maken. Sorry je hebt volgens niet echt een idee, hoe of wat de IT wereld werkt of waar het mee te maken heeft.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.