Op 17 december 2019 deed de Amerikaanse softwarefabrikant Citrix een openbare mededeling op zijn website dat een aantal van hun softwareproducten een kwetsbaarheid bevat. Via deze kwetsbaarheid konden aanvallers binnendringen in de digitale systemen van organisaties die deze producten gebruikten. Citrix gaf aan welke maatregelen organisaties konden nemen om de problemen tijdelijk te verhelpen, maar had nog geen definitieve oplossing. Een maand later, op 17 januari, adviseerde het Nationaal Cyber Security Centrum (NCSC) aan Nederlandse gebruikers hun Citrix-servers uit te zetten. Direct in de weken na de bekendmaking van de softwarekwetsbaarheid drongen aanvallers de digitale systemen van verschillende organisaties binnen. Deze aanvallen gaan door tot aan vandaag de dag.

De Onderzoeksraad onderzocht welke lessen te trekken zijn uit de wijze waarop betrokken partijen zijn omgegaan met de risico’s van kwetsbaarheden in Citrix-software en andere voorvallen waarbij kwetsbaarheden in software werden misbruikt door aanvallers. Hierbij is gekeken naar zowel het voorkomen als het bestrijden van dergelijke voorvallen.

Publicatie onderzoek

Fundamenteel ingrijpen is nodig voor Nederlandse digitale veiligheid

De Nederlandse aanpak van digitale veiligheid moet snel en fundamenteel veranderen om te voorkomen dat de maatschappij ontwricht raakt door cyberaanvallen. Dat concludeert de Onderzoeksraad voor Veiligheid in het vandaag gepubliceerde rapport ‘Kwetsbaar door software’.

De Onderzoekraad onderzocht beveiligingslekken die ontstonden bij duizenden organisaties door kwetsbaarheden in software van Citrix. Jeroen Dijsselbloem, voorzitter van de Onderzoeksraad voor Veiligheid: “Uit dit voorval blijkt dat Nederlandse overheidsorganisaties en bedrijven zeer kwetsbaar zijn voor cyberaanvallen en dat er geen nationale structuur is waarbinnen alle potentiële slachtoffers van cyberaanvallen tijdig worden gewaarschuwd.”

Aanvallen via Citrix
Op 17 december 2019 maakte Citrix een kwetsbaarheid in zijn software bekend en nam het bedrijf tijdelijke maatregelen om de risico’s te beperken. Nog voordat de vele duizenden Citrix-gebruikende organisaties doordrongen waren van de acute risico’s en de tijdelijke maatregelen hadden geïnstalleerd, waren aanvallers binnengedrongen in systemen. Het Nationaal Cyber Security Centrum (NCSC) waarschuwde direct het deel van de Nederlandse gebruikers waarvoor zij zich verantwoordelijk achtte: overheidsdiensten en vitale organisaties. Andere organisaties werden door het NCSC niet gewaarschuwd. Aanvallers konden nog steeds op grote schaal digitale systemen binnendringen. Tot op de dag van vandaag hebben zij daarmee illegale toegang tot systemen en data in bedrijven en organisaties die zij op elk moment kunnen activeren met disruptieve effecten op bedrijfsprocessen, dienstverlening, privacy en veiligheid.

Verantwoordelijkheid fabrikanten
Veilige software is allereerst de verantwoordelijkheid van de fabrikant. De Onderzoeksraad stelt dat fabrikanten meer zouden moeten investeren om de veiligheid van software voortdurend te verbeteren. Fabrikanten overstelpen softwaregebruikers nu met patches en updates om gebreken in hun software te verhelpen zonder met structurele oplossingen te komen. Er zijn geen instrumenten die afnemers van software onafhankelijk inzicht bieden in de veiligheid van de software. Ook schiet de eigen kennis en positie van afnemers vaak tekort om zelf eisen te stellen aan fabrikanten en veiligere software af te dwingen, of zien zij daar het belang niet van in.

Beperkte overheidsaanpak
Veel organisaties die software gebruiken en potentieel slachtoffer zijn van cyberaanvallen worden nu niet gewaarschuwd. Het NCSC ziet voor zichzelf wettelijk geen mandaat om organisaties buiten de overheidsdiensten en vitale organisaties te waarschuwen. Het is volgens de Onderzoeksraad van groot belang dat er vanuit de overheid een centrale aanpak komt om dreigingen te signaleren en alle potentiële slachtoffers van cyberaanvallen zo snel en direct mogelijk te waarschuwen, met voldoende mandaat en wettelijke waarborgen.

Aanbevelingen van de Onderzoeksraad
De samenleving wordt namelijk steeds afhankelijker van digitale systemen. Fabrikanten, overheden en organisaties zullen samen tot een effectieve aanpak moeten komen om Nederland weerbaarder te maken tegen cybercriminaliteit. Dit vraagt van fabrikanten dat zij de veiligheid van hun software voortdurend en fundamenteel verbeteren. De Onderzoeksraad doet de aanbeveling om op Europees niveau kwaliteitseisen aan software te stellen om softwarefabrikanten te dwingen verantwoordelijkheid te nemen voor de veiligheid van hun product. De Onderzoeksraad adviseert overheden en het bedrijfsleven hun krachten te bundelen. Door samen te werken kunnen ze hun positie richting softwarefabrikanten versterken en hun schaarse expertise beter benutten.

Binnen de overheid kan de bewaking van de digitale veiligheid worden geregeld zoals de bewaking van het voeren van zorgvuldig begrotingsbeleid is vastgelegd in de Comptabiliteitswet. Dat vergt dat er één bewindspersoon en een centrale dienst komt die hierop toeziet, zo nodig kan ingrijpen en verantwoording aflegt. Ook beveelt de Raad aan dat grotere bedrijven en organisaties wettelijk worden verplicht om verantwoording af te leggen over de wijze waarop zij hun digitale veiligheid beheersen.

Bekijk de infographic door op de afbeelding te klikken.

Infographic kwetsbaar door software

Aanbevelingen

Dit onderzoek laat zien dat kwetsbaarheden in software leiden tot onveiligheid voor organisaties die software gebruiken, en voor hen die van deze organisaties afhankelijk zijn. De kloof groeit tussen digitale afhankelijkheid en de dreigingsomvang enerzijds, en de weerbaarheid van de samenleving daartegen anderzijds. Snel en fundamenteel ingrijpen is nodig om te voorkomen dat de maatschappij ontwricht raakt. Daarom doet de Onderzoeksraad voor Veiligheid aanbevelingen.

De volledige aanbevelingen inclusief toelichting zijn beschikbaar in het rapport.

Aan het Nederlandse kabinet en aan organisaties in Nederland die software gebruiken:

1. Zorg er op korte termijn voor dat alle potentiële slachtoffers van cyberaanvallen snel en doeltreffend - gevraagd en ongevraagd - worden gewaarschuwd, zodat zij maatregelen kunnen treffen voor hun digitale veiligheid. Breng daartoe private en publieke responscapaciteit samen en zorg daarbij voor voldoende mandaat en wettelijke waarborgen.

Aan de Eurocommissaris voor Interne Markt en de Eurocommissaris voor een Europa dat klaar is voor het digitale tijdperk:

2. Zorg dat uw initiatieven om te komen tot wetgeving voor veiligere software leiden tot een Europese verordening die de verantwoordelijkheid van fabrikanten vastlegt en afnemers inzicht geeft in hoe fabrikanten die verantwoordelijkheid invullen. Leg vast dat fabrikanten aansprakelijk zijn voor de gevolgen van softwarekwetsbaarheden.

Aan fabrikanten van software gezamenlijk:

3. Ontwikkel met andere fabrikanten good practices om software veiliger te maken. Neem in de overeenkomsten met uw afnemers op dat u zich hieraan committeert.

4. Waarschuw en help al uw afnemers zo snel en doeltreffend mogelijk wanneer kwetsbaarheden in software gesignaleerd worden. Schep de randvoorwaarden die noodzakelijk zijn om uw afnemers te kunnen waarschuwen.

Aan de staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties en de minister van Economische Zaken en Klimaat (ten behoeve van alle organisaties en consumenten in Nederland):

5. Bevorder dat Nederlandse organisaties en consumenten gezamenlijk veiligheidseisen formuleren en afdwingen bij softwarefabrikanten. Zorg dat de overheid daarbij een voortrekkersrol speelt. Ga uit van het principe: collectieve samenwerking waar mogelijk; branche-specifiek waar noodzakelijk.

Aan het Nederlandse kabinet:

6. Creëer naar analogie van de Comptabiliteitswet een wettelijke basis voor de beheersing van digitale veiligheid door de overheid.

7. Verplicht alle organisaties om op eenduidige wijze verantwoording af te leggen over de wijze waarop zij digitale veiligheidsrisico’s beheersen.

 

Beeldmateriaal

Updates

  • Persbericht

    Fundamenteel ingrijpen is nodig voor Nederlandse digitale veiligheid

  • Nieuws

    Contact opnemen over dit onderzoek

Onderzoeksgegevens

Startdatum onderzoek

Publicatiedatum rapport

Status Afgerond

Fase Publicatie