De overheid gaat de manier waarop het is omgegaan met de ernstige kwetsbaarheid in Citrix onderzoeken. Dat heeft minister Grapperhaus van Justitie en Veiligheid aan de Tweede Kamer laten weten. De minister reageerde op Kamervragen van CDA-Kamerlid Van Dam.
Via het beveiligingslek was het mogelijk om Citrix-systemen op afstand over te nemen. Aanvallers hebben dit de afgelopen maanden ook op grote schaal gedaan. De kwetsbaarheid werd in december openbaar gemaakt, terwijl er nog geen update beschikbaar was. Wel kwam Citrix met mitigatiemaatregelen om systemen te beschermen. Van Dam wilde van Grapperhaus weten of die maatregelen binnen de overheid goed zijn doorgevoerd.
Volgens de minister zijn er geen aanwijzingen dat Rijksoverheidsdiensten de tussentijdse mitigerende maatregelen van Citrix van 17 december 2019 onjuist hebben doorgevoerd. "Wel is bij het NCSC bekend dat er binnen de Rijksoverheid nog organisaties waren die deze oplossing niet of niet tijdig hebben doorgevoerd. Informatie van semipublieke organisaties is niet beschikbaar", aldus Grapperhaus. De minister voegt toe dat hij deze laat evalueren. "De daaruit geleerde lessen worden samen met de kabinetsreactie op het WRR-rapport ‘Voorbereiden op digitale ontwrichting’ met uw Kamer gedeeld."
Van Dam vroeg Grapperhaus ook om een reactie op de ongeschreven regel dat fabrikanten 90 dagen de tijd krijgen om gemelde kwetsbaarheden te verhelpen voordat details openbaar worden gemaakt. De kwetsbaarheid in Citrix was door drie verschillende partijen aan Citrix gerapporteerd. Volgens Citrix liet één van de drie beveiligingsbedrijven weten informatie over het beveiligingslek op 23 december te zullen publiceren, ongeacht of er een beveiligingsupdate beschikbaar was.
"Elke kwetsbaarheid is anders en elke leverancier kan eigen richtlijnen hanteren voor het tijdig verhelpen van een kwetsbaarheid", antwoordt de minister. "Per leverancier, maar ook rekening houdend met het type systemen, zal maatwerk nodig zijn. Ik hecht er wel waarde aan dat bedrijven omwille van veiligheid van ICT-systemen een duidelijk beleid hanteren voor het zo snel mogelijk verhelpen van kwetsbaarheden."
Deze posting is gelocked. Reageren is niet meer mogelijk.