In het vakblad Binnenlands Bestuur hebben diverse cybersecurity experts, waaronder Willemijn Rodenburg van CVNL, hun opinie gegeven over de aanhoudende problemen met Citrix.
IT-experts zijn 'knap klaar' met Citrix en falend beleid
Kwetsbaarheden in Citrix-systemen zet de beveiliging van duizenden organisaties onder druk, waaronder vitale Nederlandse organisaties. Dat is niet voor het eerst. Bekende IT-experts vragen zich tegenover iBestuur en Binnenlands Bestuur af of de overheid nog wel moet vertrouwen op een leverancier die in korte tijd meerdere grote beveiligingsincidenten heeft gekend. Maar ze leggen ook uit dat Citrix is niet de enige die blaam treft.
Volgens strategisch adviseur Willemijn Rodenburg van Cyberveilig Nederland ligt de verantwoordelijkheid voor het uitbuiten van kwetsbaarheden bij Citrix niet alleen bij Citrix, deze is er ook voor de gebruikers. ‘Een kwetsbaarheid kan immers alleen worden uitgebuit als er geen passende patch is toegepast, maar als er nog geen patch beschikbaar is of de kwetsbaarheid onbekend is, ligt er ook een verantwoordelijkheid bij de leverancier. Denk daarbij aan veilig ontwerp en ontwikkeling is vanzelfsprekend de basis, maar in geval van een incident gaat het ook om communicatie, transparantie en het bieden van handelingsperspectief.’
Hoewel het volgens haar begrijpelijk is dat er kritiek is op Citrix, zeker omdat het bedrijf meerdere keren kwetsbaarheden heeft gehad binnen enkele jaren, benadrukt Rodenburg dat het ontwikkelen van 100 procent veilige software een utopie is. ‘Citrix speelt een belangrijke rol binnen vitale sectoren en overheden, waardoor het risico en de impact van kwetsbaarheden groot zijn. Het is altijd verstandig dat organisaties alternatieven onderzoeken om niet volledig afhankelijk te zijn van één leverancier, ook al is het overstappen vaak tijdrovend en kostbaar’, aldus Rodenburg.
Citrix moet zoals alle organisaties op termijn aan nieuwe cybersecuritywetgeving voldoen wat zich richt op strengere beveiligingseisen. Tegelijkertijd moeten organisaties zelf ook alert zijn en hun eigen verantwoordelijkheid nemen door tijdig te patchen, transparant te communiceren en passende maatregelen te treffen zoals netwerksegmentatie om schade te beperken.
Net als Hubert heeft ook Rodenburg goede hoop dat de aankomende Cyber Resilience Act een rol kan gaan spelen bij verbetering, doordat leveranciers aan strengere beveiligingsnormen moeten voldoen. ‘De Cyber Resilience Act dwingt leveranciers om hun producten vanaf het ontwerp beter te beveiligen’, aldus Rodenburg. ‘Dat draagt zonder meer bij aan het verhogen van de weerbaarheid van vitale en overheidsorganisaties tegen dit soort kwetsbaarheden.’
