Meer dan honderd zorginstellingen in Nederland maken gebruik van software van het Amerikaanse bedrijf Citrix die een ernstig beveiligingslek bevat. Dat meldt Z-CERT, een expertisecentrum op het gebied van cybersecurity in de zorg, donderdag. Deze zorginstellingen zijn daardoor kwetsbaar voor hackers.

Met de software van Citrix kunnen bedrijven onder andere 'virtuele desktops' opzetten die vanuit de cloud of een netwerk te gebruiken zijn. Dit zorgt er onder meer voor dat medewerkers van een bedrijf dat gebruikmaakt van de software thuis kunnen inloggen op de servers van het bedrijf.

Door de kwetsbaarheid in het netwerk van Citrix kunnen kwaadwillenden op afstand een code uitvoeren in het systeem. Kwaadwillenden kunnen hierdoor het hele systeem overnemen, waarschuwt het softwarebedrijf, wat als gevolg kan hebben dat de bedrijven slachtoffer worden van datalekken of ransomware.

Zondag werd bekend dat minimaal 713 servers in Nederland risico lopen. Het Nationaal Cyber Security Centrum (NCSC) waarschuwde maandag dat het lek actief wordt aangevallen. Z-CERT heeft alle kwetsbare zorgorganisaties daarom benaderd en geadviseerd om "met de grootst mogelijke spoed maatregelen te treffen als deze nog niet zijn genomen".

'Wie pas na zaterdag maatregelen nam, is waarschijnlijk al aangevallen'

Maar dat organisaties deze maatregelen nemen, betekent niet dat ze veilig zijn. "We zien wereldwijd een trend waarbij organisaties massaal worden aangevallen door hackers", vertelt Christiaan Piek, directeur bij Z-CERT, aan NU.nl. "Er is grote kans dat de zorgorganisaties die na zaterdag maatregelen hebben genomen tegen de kwetsbaarheid al door hackers zijn aangevallen." Het is niet bekend hoeveel zorgorganisaties op dit moment nog kwetsbaar zijn.

Dinsdagavond hebben hackers geprobeerd in te breken in de computersystemen van het Medisch Centrum Leeuwarden (MCL) en de gemeente Zutphen. Hierbij werd waarschijnlijk gebruikgemaakt van de Citrix-kwetsbaarheid. Het lijkt erop dat de hackers geen toegang hebben gekregen tot het interne netwerk van het MCL, maar verder onderzoek moet uitwijzen of dat klopt.

Piek adviseert alle zorgorganisaties die van Citrix-software gebruikmaken om eenzelfde sporenonderzoek uit te voeren op hun netwerk om te kijken of kwaadwillenden de afgelopen dagen zijn binnengedrongen in het systeem en of zij kwaadaardige software hebben achtergelaten.

Citrix verwacht eind januari update aan te bieden

De kwetsbaarheid in het systeem van Citrix is sinds december 2019 bekend, maar het softwarebedrijf heeft nog geen update uitgebracht die het lek verhelpt. Citrix verwacht op zijn vroegst op 20 januari een update aan te kunnen bieden die de kwetsbaarheid wegneemt. Voor bepaalde versies van de firmware (in hardware geprogrammeerde software) kan een update nog enkele dagen langer op zich laten wachten.

Uit een scan van Nederlands Security Meldpunt bleek donderdagochtend dat nog 250 Nederlandse servers kwetsbaar zijn door het lek. "Je kunt ervan uitgaan dat deze servers inmiddels allemaal getroffen zijn door hackers", vertelt Frank Breedijk, cybersecurityexpert bij Nederlands Security Meldpunt.