Amsterdam sluit cruciale computersystemen uit angst voor hackers

Amsterdam heeft enkele cruciale computersystemen halsoverkop afgesloten, omdat ze nog altijd lek blijken te zijn. Ook andere gemeentes, waaronder Rotterdam en Den Haag, hebben ingegrepen.

De raadzaal in het stadhuis van AmsterdamBeeld ANP XTRA

Een 9.8 op een schaal van 10. Zo ernstig zijn de lekken in de software van het Amerikaanse ­bedrijf Citrix, die wordt gebruikt door veel over­heden, zorginstellingen, universiteiten en ondernemingen.

Serversoftware van Citrix stelt gebruikers in staat van buitenaf toegang te krijgen tot computersystemen, zoals om thuis te werken of om op afstand specifieke software te gebruiken.

Begin deze week maande het Nationaal Cyber Security Centrum (NCSC) gemeentes en organisaties de vorige maand verspreide beveiligingsupdates van Citrix snel te installeren. Die oplossing blijkt niet afdoende te zijn, waardoor de kans groot is dat buitenstaanders toch kunnen binnendringen in de systemen.

Donderdagavond sloeg de datawaakhond opnieuw groot alarm. ‘Ook wanneer u recent maatregelen heeft toegepast, is er alsnog de mogelijkheid dat kwaadwillenden toegang kunnen hebben tot uw netwerk.’ Een oplossing (patch) voor de problemen is nog niet beschikbaar en wordt op zijn vroegst maandag verwacht.

Gemeentes en bedrijven sloten vrijdag massaal de toegang af tot diensten die gebruik­maken van Citrixservers. Daaronder zijn Amsterdam, Den Haag en Rotterdam, maar ook kleinere gemeenten als Tietjerksteradeel. 

‘Voor medewerkers is de thuiswerkomgeving niet beschikbaar,’ aldus een mail van de gemeente Amsterdam aan ambtenaren en raadsleden. ‘Ook e-mail op laptop, telefoon of iPad is niet voorhanden. Op gemeentelijke kantoren kan wel gewerkt worden.’

Ook Amstelveen heeft zijn servers uit voorzorg afgesloten. Voor bewoners zijn gemeentediensten nog wel online bereikbaar. Schiphol Group maakt ook gebruik van Citrix voor externe toegang tot systemen.

“Op advies van het Nationaal Cyber Security Centrum hebben wij besloten Citrix af te sluiten,” zegt een woordvoerder van Schiphol. “Op kantoorwerkplekken van Schiphol Group blijft de werkomgeving gewoon beschikbaar. Medewerkers die van buiten willen inloggen op hun thuiswerkomgeving kunnen dat niet meer doen vanaf hun computer of laptop. Voor een groot gedeelte is werken via smartphone of Ipad nog wel mogelijk.”

‘Niet ingebroken’

De gemeente Amsterdam onderzoekt nog of er meer risico’s zijn. “We inventariseren welke gemeentelijke processen door deze maatregel gehinderd worden. Op dit moment wordt hard gewerkt aan een oplossing.” Eerder deze week bleek dat Amsterdam nog altijd computers op Windows 7 heeft draaien, terwijl Microsoft de ondersteuning daarvan heeft gestaakt.

Ook Amsterdamse ziekenhuizen gebruiken Citrixsystemen, waaronder VU en AMC. Een ander ziekenhuis wil vanwege de risico’s niet bij naam worden genoemd.

“We hebben meteen maatregelen genomen en logbestanden gecontroleerd om er zeker van te zijn dat niemand het netwerk was binnengedrongen,” zegt systeembeheerder Ewald Beekman van Amsterdam UMC, waar het AMC en de VU onder vallen. “Bij ons is niet in­gebroken.”

“Door de kwetsbaarheid zouden hackers op afstand software kunnen plaatsen in netwerken. Neem je geen maatregelen, dan kunnen hackers gijzelsoftware installeren.” Dat er nog altijd geen afdoende update van Citrix beschikbaar is, noemt Beekman zorgelijk. “Maar de maatregelen die wij hebben getroffen, zijn voldoende om hackers buiten de deur te houden.”

Cruciale diensten

De Citrixcrisis grijpt daarmee snel om zich heen. Deze week traden de eerste slachtoffers van het lek naar buiten, waaronder de gemeente Zutphen en een ziekenhuis in Leeuwarden.

Niet alleen het Amerikaanse miljardenbedrijf, dat gebruikers op 17 december voor het eerst waarschuwde, ligt onder vuur. Inmiddels groeit ook de kritiek op het NCSC, dat zulke bedreigingen in de gaten moet houden.

De instelling alarmeerde in december wel ‘cruciale’ diensten, waaronder systeembanken, maar trad niet verder naar buiten met het advies. Daardoor tastte een groot aantal bedrijven tot voor kort in het duister.

Bij een steekproef ontdekte cyberdeskundige Bad Packets deze week getroffen servers bij 713 Nederlandse bedrijven en instellingen. Wereldwijd gaat het volgens Bad Packets om meer dan 25.000 bedrijven.

Meer over

Wilt u belangrijke informatie delen met Het Parool?

Tip hier onze journalisten


Op alle verhalen van Het Parool rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@parool .nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden