De Onderzoeksraad voor Veiligheid start een onderzoek naar het beveiligingslek in de software van Citrix dat in december 2019 bekend werd. Bij het onderzoek kijkt de Raad met name naar de aanpak in de maanden na de ontdekking van het beveiligingslek.

De Raad zal bijzondere aandacht geven aan de governance van digitale veiligheid in Nederland. Welke partijen, publiek en privaat, hebben welke verantwoordelijkheid en welke bevoegdheid om de digitale veiligheid te borgen en hoe zijn deze ingezet om de gevolgen van dit lek te beperken? Het doel van het onderzoek is het vergroten van de digitale veiligheid in Nederland.

Overheid
Zeker 25 Nederlandse organisaties zijn, door actief misbruik van het Citrix-lek door criminele hackers en spionagegroepen, slachtoffer geworden van een cyberaanval. Citrix heeft wereldwijd zo’n 400.000 gebruikers. Eind vorig jaar bleek de beveiliging van de dienstverlener niet in orde, waardoor gegevens van honderden en mogelijk zelfs duizenden gebruikers in handen van criminelen terecht kwamen. Ook de Nederlandse overheid maakte gebruik van Citrix, om medewerkers in staat te stellen veilig thuis te werken. Na de ontdekking van het lek voerde Citrix enkele beveiligingsmaatregelen door, maar die werkten volgens het bekende beveiligingsbedrijf Fox-IT niet. Hackers konden complete netwerken overnemen en bestanden versleutelen om losgeld te eisen. Ook zouden buitenlandse overheden het lek misbruiken om spionage te plegen. De minister overweegt uit te breiden wat onder ‘vitaal’ valt, met bijvoorbeeld ziekenhuizen.