Aha, ik ruik bloed hier...... Nu pas CITRIX uitschakelen.

Beetje laat, leven die beheerders onder een steen?

Ik denk dat ze vrij lang in Nijmegen en omgeving vooral dachten - geen paniek!!!!

Mocht er nou blijken dat ze nu 'pas' Citrix uitschakelen, zou er dan spraken kunnen zijn van nalatigheid (als er een datalek blijkt te zijn)?

Het hele Citrix verhaal was zo uitgebreid op het nieuws dat je toch wel kan aannemen dat elk (groot) bedrijf met kritieke data en wat gebruik maakt van Citrix hiervan op de hoogte is...

uhhh... maar er is allang een patch (en bij ons maandag al uitgevoerd!)

Dus niet alleen hun zorg is zwaar benedenmaats, maar de hele organisatie

De "mitigation steps" (dus niet de definitieve patches) hadden al na de melding door Citrix van 16 december 2019 moeten worden uitgevoerd (of na de alerte melding door het NCSC op 18 december).

De definitieve patches voor de verschillende versies van Citrix Netscaler zijn op verschillende dagen uitgebracht, de eerste op zondag 19 januari, de laatste vandaag 24 januari.
https://www.citrix.com/blogs/2020/01/23/fixes-now-available-for-citrix-adc-citrix-gateway-versions-12-1-and-13-0/

Vervolgens moet er ook een test met de "Indicator of Compromise Scanning Tool" worden uitgevoerd op mogelijke sporen van besmetting:
https://www.security.nl/posting/640540/Citrix+lanceert+gratis+tool+voor+detectie+gecompromitteerde+systemen
https://github.com/citrix/ioc-scanner-CVE-2019-19781/

Als de aanbevolen "mitigation steps" van 16 december 2019 nog niet waren uitgevoerd voor 9 januari 2020 (en de Citrix netscaler dus na 9 januari open heeft gestaan voor aanvallers) moet je uitgaan van het "worst case scenario", dus dat je netwerk besmet is geraakt. Bijvoorbeeld met een "hidden user", of "dormant malware".

Uit de verklaring van Pro Persona volgt niet of, en zo ja wanneer, de "mitigation steps" zijn uitgevoerd.

GGZ-instelling Pro Persona zegt nu: ".. Uit aanvullend onderzoek is gebleken dat er mogelijk misbruik is gemaakt van de Citrix-toegang binnen Pro Persona. Daarom heeft Pro Persona onder meer de thuiswerk-omgeving en de toegang tot internet vanuit de werkplek dichtgezet."

Als er nu met "aanvullend onderzoek" bedoeld wordt de "Indicator of Compromise Scanning Tool", dan kan ik Pro Persona volledig gelijk geven dat ze hun Citrix netscaler nu alsnog uitschakelen.

Ik ben benieuwd of hier ook kamer-vragen over gesteld gaan worden.

Iets in de trand van:
- is dit symptomatisch voor de hele zorgsectror.
- hoeveel andere zorginstellingen hebben hun ICT ook niet op orde
- hoe gaat de minster afdwingen dat (patient)data beter beveiligd gaan worden binnen de zorgsector [EPD spook, of jaarlijkse IT audit]
- kunnen zorginstellingen onder curatele gesteld worden, dan wel opgeheven worden of hun vergunning verliezen als zij hun ict zo slecht op orde hebben
etc etc etc

Dit is geen call geweest van beheerders maar van managers.

Nee, dat is de verkeerde volgorde.
Je zet eerst de gateway uit (of isoleert hem in ieder geval van de buitenwereld) en dan ga je "nader onderzoek" doen. Eerst crisimaatregelen, dan onderzoek en repareren. Anders steek je je hoofd in het zand voor de risico's.
Als jou redenatie gevolgd is, dan is Pro Persona extra lang kwetsbaar geweest vanwege dat "nader onderzoek".

Dat uitzetten had op zijn vroegst 16 december al kunnen gebeuren, op zijn laatst toen het advies van de overheid kwam.
Niet nu pas, omdat er misschien iets gebeurd is.

Huh, Citrix lek?

Hoop dat ze een flinke boete krijgen.
Nu pas maatregelen nemen is wel erg laat.

En ze kunnen onmogelijk zeggen dat ze niet op de hoogte waren van het lek.