Nieuws, Kennis en Visie

Blijf op de hoogte van de laatste ontwikkelingen op het snijvlak van het sociaal domein en informatievoorziening.

Tags: citrix,informatiebeveiliging,ncsc

Precisiebombardement

kantoorruimte met een bord met daarop het citrix logo op de voorgrond

De opwinding was groot. Aangejaagd door de media, die ongeveer elk uur met een update kwamen, welke organisaties nu weer geraakt dreigden te worden, groeide poortwachter Citrix uit tot heuse hype. Alle poorten preventief op slot, was het advies van cyberwaakhond NCSC (Nationaal Cyber Security Centrum). En de poorten gingen op slot, ook die van vrijwel alle gemeenten. De schrik zat er goed in.

Nadat de rust enigszins was teruggekeerd, bleef ik met een paar vragen achter. Was de paniek terecht? Had het ook anders gekund, iets meer bezonnen? Was er uberha├╝pt voor bestuurders nog ruimte om op goede (technische) gronden het advies te negeren? Het zijn geen vragen die met een eenduidig ja of nee kunnen worden beantwoord. Ten eerste omdat we nog steeds niet precies de ernst en de omvang van de dreiging kennen. Misschien speelde er meer dan we nu weten. Ten tweede omdat ik begrijp dat bestuurders geen risico willen lopen. Mocht het fout gaan, dan zijn de rapen immers gaar. Maar dat neemt niet weg dat ik het lastig vind dat van een in de aard technisch probleem een bestuurlijke zaak is gemaakt. 

Voorop gesteld, ik verwijt niemand iets, nou ja, hooguit Citrix. Het is niet erg verstandig om een kwetsbaarheid te melden, als er nog geen of slechts een halve patch is. Het is de kat op het spek binden. Niet vreemd dus dat aanvallers actief de aanval openden op Citrix-servers, iets waarvan de NCSC op 9 januari melding maakte, waarop vijf dagen later bestuurlijk Nederland in blinde paniek de servers uitschakelde. Een (media-)hype was geboren. Op zich was ik best blij met alle aandacht, het probleem staat nu stevig op de kaart, niet alleen in Nederland, maar ook in Europa. Ook opvallend is dat mede naar aanleiding van deze gebeurtenis steeds meer bedrijven graag door IBD (Informatiebeveiligingsdienst) en NCSC tijdig ingelicht willen worden over mogelijke aanvallen. Kennelijk doen deze organisaties hun werk goed, een geruststellend gevoel.

Toch knaagt er iets. Het NCSC-advies de zaak op slot te gooien was een soort bom die iedereen raakte, ook de organisaties die, nadat op 24 december werd gemeld dat het lek ernstig was, meteen de juiste maatregelen hadden getroffen. Was een precisie-bombardement niet verstandiger geweest, nadat eerst met betrokken partijen de zaak grondig was geïnventariseerd, inclusief de mogelijke effecten van het preventieve advies om alle Citrix-omgevingen dicht te zetten? Die tijd was er.

Nogmaals, het is geen verwijt, eerder het aftasten van wat mogelijk bij een volgende keer beter kan. Wellicht is een meer afgewogen advies denkbaar. Dan zou de mediastorm, die maakte dat beslissers weinig andere keuze hadden dan de zaak op slot te draaien, wellicht niet zijn opgestoken. Niet alle dienstverlening zou dan misschien platgelegd zijn als gevolg van dit besluit. Iets meer rust, iets meer overleg, iets meer maatwerk, kan ik mij voorstellen. En waak ervoor dat een technisch probleem te snel op het bord van bestuurders belandt. Tenzij, zoals iemand opperde, de boardrooms worden bevolkt door millennials. Die raken over het algemeen wat minder snel in paniek van een hack of een lek.

Het originele blog verscheen op 27 januari op iBestuur.nl

terug naar overzicht
Gerelateerd Nieuws

Blijf op de hoogte van de laatste ontwikkelingen op het snijvlak van het sociaal domein en informatievoorziening.

Tags: informatiebeveiliging,informatiesamenleving,publicroam,veilig wifi
Blog: Veilig wifi voor iedereen

Ondanks dat iedereen overtuigd is van de noodzaak en voordelen van publicroam, is veilig wifi nog niet echt van de grond gekomen.

lees meer
Tags: cloud,cloud computing,informatiebeveiliging,privacy
Veilige cloud

Het is niet bepaald een licht zomeronderwerp, maar desondanks meer dan belangrijk genoeg om er aandacht aan te besteden. Ik heb het over cloud computing, wat kort gezegd inhoudt dat allerlei IT-diensten, van servers tot databases, via internet worden verleend.

lees meer
Tags: data,digitaal ontmoetingsplein,digital me,informatiebeveiliging
Digital Me

Je kunt natuurlijk je data, het nieuwe goud, weggeven aan de Googles en Facebooks van deze wereld. Laten we dat voor het gemak het Amerikaanse model noemen. Of je kunt ze toevertrouwen aan de staat, zoals in China. Bij beide voel ik mij ongemakkelijk. En daarin sta ik niet alleen.

lees meer