Doodmoe en overwerkt; toen er kwetsbaarheden in software van Citrix werden gevonden, nam een handvol vrijwilligers zelf de touwtjes in handen en kwamen zij met een nieuw, landelijk meldpunt voor beveiligingslekken: het Nederlands Security Meldpunt. "We dachten: dit moet beter."

ICT-experts zijn bezorgd over de coördinatie bij beveiligingslekken bij organisaties in Nederland. Die coördinatie verloopt niet via een centraal punt, wat zorgt voor miscommunicatie en onnodige vertraging bij het verhelpen van de lekken.

In Nederland is het afgelopen jaar daarom een soort vrijwillige cyberbrandweer ontstaan. Een groep ICT-experts slaat de handen ineen om organisaties in Nederland beter te informeren in het geval van een cyberaanval.

'We dachten: dit moet beter geregeld'

In 2019 waren de VPN-verbindingen van de Luchtverkeersleiding, rijksoverheid en honderden andere bedrijven in Nederlanden door een lek in de VPN-dienst van Pulse Secure een half jaar toegankelijk voor kwaadwillenden, bleek uit onderzoek van de Volkskrant.

"De informatie rondom de kwetsbaarheid was er wel, maar kwam niet terecht bij de mensen die daar iets mee konden", vertelt ICT-expert Frank Breedijk.

Hij wilde een plek creëren waar onderzoekers kwetsbaarheden bij servers van Nederlandse organisaties konden melden. "En we wilden deze informatie vervolgens overhandigen aan de juiste mensen bij de getroffen organisaties, zodat ze de kwetsbaarheid snel en effectief kunnen aanpakken."

Een overhaaste start

De plannen voor het meldpunt lagen er al een paar maanden, maar Breedijk wilde de tijd nemen om het goed op te zetten. Hij wilde nog vrijwilligers werven en regels opstellen. Maar toen kwam ineens het lek in Citrix.

Door de kwetsbaarheid in het netwerk van Citrix konden kwaadwillenden op afstand een willekeurig programma uitvoeren op het systeem. Ze zouden hierdoor het hele systeem kunnen overnemen.

De bedrijven zouden daardoor slachtoffer kunnen worden van datalekken of ransomware. Begin januari bleek dat zevenhonderd servers in Nederland kwetsbaar waren en dat het lek actief door hackers werd aangevallen.

"Ik dacht: deze kwetsbaarheid is zo ernstig, daar moeten we wat aan doen", vertelt cyberexpert Matthijs Koot. Breedijk deelde zijn gedachte en lanceerde van de ene op de andere dag het Nederlands Security Meldpunt.

Contact met bedrijven is soms lastig

Koot scande de afgelopen weken regelmatig op het internet naar kwetsbare Citrix-systemen en meldde ze vervolgens aan Breedijk. Breedijk en andere vrijwilligers zorgden er vervolgens voor dat de meldingen bij de juiste mensen van de juiste organisaties terechtkwamen. Dat bleek een hele klus.

"Het is nog wel een ding om in contact te komen met de bedrijven", vertelt Breedijk. "Je kan ze mailen, maar de vraag is of de mail dan wel bij de juiste persoon terechtkomt. Sommige bedrijven denken dat we ze iets willen verkopen, of denken dat we ze willen chanteren. Het kost heel veel tijd een moeite."

'Alsof ik twee volle banen heb'

Breedijk had de afgelopen weken het gevoel dat hij twee banen tegelijkertijd had. En ook Koot is er sinds de eerste week van januari dagelijks urenlang mee bezig.

Ondanks die tijd en moeite is Breedijk van plan om het meldpunt door te zetten. "We gaan nu eerst kijken wat de nasleep is van de Citrix-kwetsbaarheid. Daarna moeten we gaan kijken of we het meldpunt breder kunnen organiseren, want met deze kleine groep mensen houden we het zo niet vol. We gaan hier nu met verschillende partijen over in gesprek."