De problemen met Citrix maken duidelijk hoe gemakkelijk we ons afhankelijk maken van een product zonder er goed over na te denken hoe met risico’s om te gaan. Zodra er dan een probleem optreedt, zijn de gevolgen opeens ingrijpend en blijken we niet weerbaar genoeg.
Zodra afgelopen december duidelijk wordt hoe groot de problemen in Citrix zijn, begint in Nederland de schaal ervan door te dringen. Uit onderzoek van diverse partijen blijkt dat duizenden servers kwetsbaar zijn of zijn geweest.
Een aanvaller kan toegang hebben gekregen tot de systemen om direct misbruik te maken, gegevens op te halen om later terug te kunnen komen of nog erger, via de Citrix-server de inloggegevens van alle toegankelijke systemen te laden. Bij meer zwakheden in software is het mogelijk het kwetsbare product als springplank naar iets ergers te gebruiken.
Het verhaal krijgt een nieuwe dynamiek als het Nationaal Cyber Security Centrum (NCSC) een oproep doet om de Citrix-servers plat te gooien tot het bedrijf met een update komt. Het woord ‘citrixfile’ wordt geboren. Veel meer mensen moeten nu opeens op kantoor zijn, omdat op afstand werken even niet kan.
De meeste organisaties hebben geen plan B. Dus vaste medewerkers werken op kantoor als daar plaats beschikbaar is, terwijl anderen tijdelijk helemaal niet kunnen werken. Het raakt sommige organisaties net als in 2011 bij de Diginotar-crisis, toen opeens website-certificaten niet meer beschikbaar waren en dienstverlening via de website niet langer mogelijk was. In beide gevallen blijkt er niet te zijn nagedacht over een plan B.
Vooral grotere organisaties zijn op verschillende punten kwetsbaar. Denk bijvoorbeeld aan zwakheden in serversoftware, officesoftware, zwakheden in hardware of zelfs telefoons. Juist doordat iedereen met exact dezelfde apparatuur en software werkt, heeft dat een forse uitwerking op de organisatie bij problemen. De voordelen van een monocultuur hebben dan ook nadrukkelijk een keerzijde.
Wie afhankelijk is van de continuïteit van ICT zal moeten nadenken over scenario’s wanneer een onderdeel niet beschikbaar is. De ervaring leert dat vroeg of laat diensten verstoord worden. Dat vraagt om weerbaarheidsdenken, waarbij je voorbereid bent en weet welke stappen je moet zetten als de monocultuur getroffen wordt.
We kunnen boos zijn op Citrix om het trage dichten van het lek, het onderschatten van de ernst van het probleem, de ronduit slechte communicatie, de slechte kwaliteit van de gepatchte software en ga zo maar door. Maar uiteindelijk komt een deel van de irritatie ook doordat we onszelf kwetsbaar hebben gemaakt. Als we dat erkennen en durven aan te pakken dan is de problematiek direct veel minder groot, want dan denken we na over oplossingen voor het ‘geval dat’. Dat maakt ons weerbaar en dat zou de grote les rond Citrix moeten zijn.