UPDATE: Het Amsterdam UMC haalde in de nacht van vrijdag op zaterdag haar Citrix server offline, na dringend advies van het NCSC. Dat maakten zij bekend op zaterdagochtend.
AMSTERDAM – Meerdere Amsterdamse bedrijven en instellingen blijven gebruik maken van het voor hacks kwetsbare computerprogramma Citrix, zo blijkt uit een rondgang van NAP Nieuws. Het gaat onder meer om het Amsterdam UMC, de Amsterdamse haven, ABN Amro en de Hogeschool van Amsterdam. Hiermee leggen ze een advies van het Nationaal Cyber Security Centrum (NCSC) naast zich neer.
Het computerprogramma Citrix kwam dinsdag in het nieuws nadat een lek in de software leidde tot een mogelijke hack op een ziekenhuis in Leeuwarden. Dit ziekenhuis schakelde hun systeem toen uit om grotere problemen te voorkomen. Op vrijdagochtend sloot de ook gemeente Amsterdam hun systeem af uit voorzorg, net als enkele andere gemeenten in het land.
‘Zeer ernstige kwetsbaarheid’
Citrix is software waarmee medewerkers vanaf elke plek bij hun online werkomgeving kunnen. Zo kunnen zij bijvoorbeeld thuiswerken. Als inbrekers dit systeem binnenkomen, kunnen zij mogelijk gevoelige informatie inzien, of systemen platleggen. Door het programma zelf offline te halen, voorkomt een bedrijf een inbreuk.
Het Nationaal Cyber Security Centrum (NCSC), onderdeel van het ministerie van Justitie en Veiligheid, adviseert bedrijven te overwegen Citrix uit te zetten, als de impact daarvan op hun bedrijf acceptabel is. Het NCSC waarschuwde gebruikers dinsdag voor de ‘zeer ernstige kwetsbaarheid’ van de software en omschrijft de ernst ervan als een ‘9,8 op een schaal van 1 t/m 10.’ Aangeboden oplossingen voor het lek bleken donderdagavond niet in ieder geval effectief.
‘Continue monitoring’
Amsterdam UMC, Port of Amsterdam en ABN Amro houden hun veiligheidssituatie scherp in de gaten. De Amsterdamse haven maakt daarbij gebruik van externe adviseurs. De organisaties zien zich nog niet genoodzaakt Citrix offline te halen. Nicole de Haan, woordvoerder van het Amsterdam UMC: ‘Het stilzetten zou een flinke impact hebben op het ziekenhuis en de patiëntenzorg, maar met continue monitoring achten we het verantwoord het systeem te laten draaien.’ De Hogeschool van Amsterdam weet nog niet of zij het programma uit zal schakelen. ‘De veiligheidssituatie wordt elke seconde gemonitord,’ laat hun woordvoerder weten.
Vervoersbedrijf GVB en het ziekenhuis OLVG gebruiken ook Citrix. Deze organisaties laten aan NAP Nieuws weten maatregelen te nemen tegen de problemen met Citrix, maar kunnen niet uitweiden over deze maatregelen. Het is dus onbekend of zij het programma blijven gebruiken.