Cyberveiligheid Vanwege bezorgdheid over een beveiligingsprobleem in de digitale werkomgeving, is het Openbaar Ministerie offline. Het OM sluit niet uit dat hackers misbruik hebben gemaakt van een lek: „Analyse heeft reden gegeven aan te nemen dat gebruik is gemaakt van deze kwetsbaarheid.”
Het gebouw van het Openbaar Ministerie in Amsterdam.
Het Openbaar Ministerie is vrijdagochtend ‘offline’ wegens ernstige zorgen over de beveiliging van de digitale werkomgeving. Alle internetverbindingen werden afgesloten en op afstand werken is niet langer mogelijk.
Dat laat een woordvoerder van het Parket-Generaal vrijdagochtend aan NRC weten. „Vanuit het NCSC [Nationaal Cyber Security Centrum] is een signaal binnen gekomen dat er een mogelijke kwetsbaarheid is”, vertelt de woordvoerder. Misbruik van het lek sluit het OM niet uit. „Een grondige analyse van de OM-omgevingen heeft reden gegeven om aan te nemen dat er ook werkelijk gebruik is gemaakt van deze mogelijke kwetsbaarheid.”
Donderdagavond werd een crisisoverleg gehouden over de problemen met de digitale werkomgeving, zo blijkt uit interne berichten. Officieren van justitie die vrijdagochtend een zitting hadden, werden geadviseerd hun stukken te downloaden.
Op de kantoren van het OM kan nog wel worden gewerkt, maar verbinding maken met het internet is niet mogelijk, zegt de woordvoerder van het OM.
Het OM gebruikt software van het Amerikaanse bedrijf Citrix Netscaler om werknemers thuis of anderszins op afstand via beveiligde verbindingen toegang te geven tot interne systemen. In de software van Citrix werd vorige maand een kwetsbaarheid gevonden.
Door deze ‘softwarebug’ kunnen hackers gegevens laten lekken uit de beveiligde omgeving. Extra beveiligingsmaatregelen worden zo omzeild en hackers kunnen toegang krijgen tot interne systemen en bijvoorbeeld wachtwoorden onderscheppen.
Door de netwerkverbindingen af te sluiten en het eigen netwerk te isoleren, kan niemand meer bij het netwerk van het Openbaar Ministerie - ook eventuele aanvallers niet.
Citrix stelde 18 juni al beveiligingsupdates beschikbaar, maar het is onduidelijk of, en zo ja: wanneer, het OM de update heeft doorgevoerd. „Zodra meer informatie beschikbaar is over de aard, omvang en gevolgen van de mogelijke kwetsbaarheid wordt deze gedeeld”, zegt de woordvoerder van het Parket Generaal.
Lang niet ieder bedrijf of organisatie heeft de update van Citrix doorgevoerd, blijkt uit onderzoek van beveiligingsonderzoeker Kevin Beaumont. Zo’n vierduizend Citrix-installaties hebben volgens hem de update niet toegepast, wat ze aldus kwetsbaar maakt. Dat is een vijfde van de installaties die hij monitort. Het OM is volgens Beaumont niet (meer) kwetsbaar.
Computerprogramma’s bevatten soms ernstige kwetsbaarheden die lange tijd onopgemerkt blijven en zo ongezien misbruikt worden door hackers. Als zo’n lek bekend wordt, is het belangrijk om zo snel mogelijk het gat te dichten. Bedrijven stellen daarom zogenaamde patches beschikbaar: updates die de problemen moeten verhelpen.
In het geval van problemen in de software van Citrix adviseert het NCSC daarom al sinds 18 juni „met klem” om de beveiligingsupdate op „korte termijn” te installeren. Dat advies werd vorige week aangescherpt toen de kwetsbaarheid daadwerkelijk door hackers werd uitgebuit. „De kans op een toename van scanverkeer en grootschalig misbruik wordt hierdoor significant groter”, schreef het NCSC.
Inmiddels is duidelijk dat hackers al sinds 23 juni, vijf dagen na het bekend worden van het lek, de kwetsbaarheid in Citrix konden misbruiken. Dat gebeurt op grote schaal: beveiligingsbedrijf Imperva telde vorige week meer dan 11,5 miljoen aanvallen , gericht op duizenden sites in allerlei landen.
De kwetsbaarheid lijkt op problemen die Citrix eerder, in 2020, ervoer: toen konden hackers ook toegang krijgen tot beveiligde gegevens. Die softwarefout werd op grote schaal misbruikt door ransomwarebendes en technologisch geavanceerde hackers, al dan niet aan staten gerelateerd.
Honderden Nederlandse bedrijven gebruiken Citrix. Daaronder bevinden zich volgens de lijsten van Beaumont tientallen Citrix-installaties die sowieso als kwetsbaar gelden. Wie het lek niet of niet tijdig heeft gedicht, zal goed op moeten letten op indringers in het computernetwerk.
Source: NRC