Het beveiligingslek bij softwarebedrijf Citrix houdt de gemoederen bezig. Waar moet je op letten als je als accountantskantoor van Citrix gebruik maakt om op afstand in te (laten) loggen op de bedrijfssystemen? Jack van Crooij van CROP en Gerke van Garderen van Joinson&Spice leggen het uit.
1: Niets is 100% veilig
Vandaag gaat het over Citrix, maar morgen kan er bij een andere partij een beveiligingsprobleem worden ontdekt. ‘Inloggen van buitenaf blijft een dingetje, met welk systeem je ook werkt’, zegt Jack van Crooij, senior manager IT-audit & services bij CROP. ‘Het is altijd aan te raden om te werken met twee-factorauthenticatie als extra slot op de deur. Het beste advies is om de actuele berichtgeving te volgen van Citrix zelf en van het Nationaal Cyber Security Centrum (NCSC) en vooral tijdig de juiste patches te installeren. Bij twijfel is de reactie van veel overheidsinstellingen om het thuiswerken maar even te verbieden de juiste beheersmaatregel.’
Bron: Joinson & Spice2: Citrix kan ook op de achtergrond actief zijn
Bedrijven die via de virtuele Citrix-desktop thuiswerken of inloggen op afstand mogelijk maken, weten dat vaak zelf. Maar soms is het niet zo duidelijk, zegt Gerke van Garderen, technology oficer bij Joinson&Spice: ‘Er zijn leveranciers van software die werken in de cloud mogelijk maken via Citrix. Dat is voor een gebruiker niet altijd zichtbaar: Citrix draait dan op de achtergrond. Ga dus goed na of je bedrijf echt niet geraakt is door het huidige beveiligingslek.’
3: Elke leverancier reageert anders
Van Crooij vindt het interessant om te zien dat elke leverancier anders reageert op het Citrix-lek. ‘Waar de ene partij kiest voor IP-whitelisting en dus alleen bekende IP-nummers toegang geeft, kiest de andere partij voor een melding op de site dat bij hen het probleem niet voorkomt. Twee uitersten voor hetzelfde ernstige probleem dus.’
4: Altijd updaten
Het lek maakt weer eens duidelijk dat updates van systemen en software altijd direct moeten worden uitgevoerd. De updates zijn er niet voor niets en verhelpen geregeld beveiligingsproblemen. “Een leverancier kan ook een aparte reparatie van een specifiek probleem sturen. Dat heet een patch. Direct toepassen is ook daar het devies.”
Het probleem bij Citrix is vorig jaar al ontdekt. “Er is toen een handleiding geschreven met stappen om het lek te dichten. De echte ‘officiële’ oplossing is nog onderweg. Maar dit jaar is er een zogeheten exploit beschikbaar gesteld”, zegt Van Garderen. “Dat is software die misbruik maakt van zwakke plekken om toegang tot het systeem te krijgen. Deze specifieke exploit is makkelijk toepasbaar, dus het risico op een hack is daarmee vergroot. Ik heb wel begrepen dat het aantal systemen met een risico vrij beperkt was, zo’n 700.”
5: Maak goede afspraken over hosting en back-up
Het is altijd verstandig om een back-up te maken van data, liefst dagelijks. “Maak een externe backup, dus buiten je eigen systeem om, zodat gegevens altijd teruggezet kunnen worden. Let wel: een backup beschermt je niet tegen een beveiligingslek”, zegt Van Garderen.
Normaal gesproken zou bij de software- of hostingpartij waarmee je zakendoet, alarmbellen moeten gaan rinkelen bij kwetsbaarheid zoals bij Citrix. ‘Dat geldt des te meer omdat nu al actief door hackers wordt gezocht naar kwetsbare Citrix-servers en aantoonbaar aanvalspogingen worden waargenomen’, zegt Van Crooij. ‘Je bent van zo’n partij afhankelijk. Maak daarom goede afspraken in SLA’s, waarin staat hoe de software- of hostingpartij moet reageren in een dergelijke situatie. Van partijen met een ISO 27001-certificaat mag je een adequate reactie verwachten omdat dit zit opgesloten in hun securityprocedures. Maar de praktijk leert dat ook hier nog wel eens de verkeerde afslag wordt genomen. Eigen waakzaamheid blijft dus ook hier geboden.’
6: Vergeet de privacyregels niet
Datalekken moeten direct worden gemeld bij de Autoriteit Persoonsgegevens. Alleen is het lastig om te ontdekken of er privacygevoelige gegevens zijn gelekt. Van Garderen: ‘Dat hangt er mede van af welke methode er gebruikt is. Het meest waarschijnlijk is dat hackers een generieke methode hebben toegepast, zonder zich specifiek op bijvoorbeeld accountantskantoren te richten. Een van de hacks waarbij je vrijwel direct weet dat je slachtoffer bent geworden, is een aanval met ransomware. Daarbij is ontdekt worden juist belangrijk om geld te kunnen vragen voor het vrijgeven van gegevens. In de meeste andere gevallen is een goede analyse van de systemen noodzakelijk.’
Een software en/of hostingpartij die haar zaakjes op het gebied van security niet op orde heeft, is voor een verwerkingsverantwoordelijke zoals een accountantskantoor een risico op zich, geeft Van Crooij aan. ‘De deur staat immers wagenwijd open voor een aanval bij een verkeerde respons op een Citrix-lek. Zo’n aanval is appeltje-eitje geworden als hackers het gat in Citrix eenmaal hebben gevonden. In een dergelijk geval is bijvoorbeeld het installeren van ransomware een simpele manier om een accountantskantoor volledig lam te leggen en vervelende imagoschade toe te brengen. Controleer dan ook actief op de vraag of je software- en/of hostingpartij regelmatig een full-restoretest uitvoert en of back-ups succesvol gemonitord worden. Doet je dat niet, dan mag je in navolging van veel gerenommeerde partijen in Bitcoins afrekenen met de hackers in kwestie.’
7: Vertrouwen als imago
Een accountantskantoor heeft vertrouwen als belangrijkste imagofactor hoog te houden. Het kiezen van een professionele software- en/of hostingpartij die zorgvuldig omgaat met privacygevoelige data is daar een belangrijk onderdeel van, geeft Van Crooij aan. ‘Het belang van een goed SLA in combinatie met het actief monitoren en tijdig patchen van kwetsbaarheden is een wezenlijk onderdeel van de beveiliging van je klantdata. Ga er niet te makkelijk van uit dat dit allemaal wel prima geregeld is. Dit Citrix-lek laat wederom zien dat het helaas niet altijd vanzelfsprekend is.’
Geef een reactie