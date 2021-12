Meerdere ministeries zijn twee jaar geleden aangevallen door een buitenlandse staat, zegt Jeroen Dijsselbloem, de voorzitter van de Onderzoeksraad voor Veiligheid (OVV), tegen NU.nl in een toelichting op een donderdag gepubliceerd onderzoek. Daaruit blijkt dat de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) in januari 2020 constateerde dat een buitenlandse staat de Rijksoverheid aanviel.

De AIVD stelde op 12 en 13 januari 2020 "offensieve activiteiten" door een buitenlandse staat vast. Die waren het gevolg van een kwetsbaarheid in software van de Amerikaanse fabrikant Citrix.

De aanval was een "acute dreiging" voor de Rijksoverheid. Tot nu toe was niet duidelijk of Nederland doelwit is geweest van een buitenlandse mogendheid als gevolg van de kwetsbaarheid in de Citrix-software.

Welk land Nederland aanviel, is niet duidelijk. De AIVD heeft later alleen gezegd "dat onder meer Russische statelijke actoren een kwetsbaarheid in Citrix-software op grote schaal hadden misbruikt".

De OVV wijst in het onderzoek op een Amerikaanse waarschuwing over China. Volgens de Verenigde Staten heeft China kwetsbaarheden in Citrix-software gebruikt om aanvallen uit te voeren.

Het is onduidelijk in welke mate de aanvallen op de Rijksoverheid succesvol zijn geweest. "Maar dat we ze niet waarnemen, wil niet zeggen dat statelijke actoren niet binnen zijn geweest", zegt OVV-voorzitter Dijsselbloem. "We hopen dat de Rijksoverheid blijft monitoren."

OVV: Waarschuwing was vertraagd en verwarrend

Het duurde tot 17 januari voor de AIVD het Nationaal Cyber Security Centrum (NCSC) op de hoogte bracht van het directe gevaar voor de Rijksoverheid. Deze organisatie heeft de taak om rijksorganisaties te waarschuwen.

Over die waarschuwing zaten de AIVD en het NCSC niet op één lijn. De geheime dienst wilde dat het NCSC de overheid zou adviseren om alle Citrix-servers uit te schakelen. Het NCSC wilde juist dat overheidsorganisaties hun eigen afweging zouden maken, zoals het een dag eerder ook al had geadviseerd.

Uiteindelijk zette het NCSC het strenge advies van de AIVD alsnog door, maar zonder veel details over de gevaren. De informatie van de AIVD was namelijk staatsgeheim.

Dat het NCSC-advies van de ene op de andere dag een stuk strenger werd, leidde tot verwarring. Organisaties van de Rijksoverheid konden niet inschatten of het verzwaarde advies ook voor hen gold en of ze actie moesten ondernemen, schrijft de OVV.

"Het is een moeilijke afweging om te besluiten om je Citrix-systemen uit te zetten als je niet eens weet wat het risico is", zegt Dijsselbloem. "De informatie was vertraagd en verwarrend."

Om dat te voorkomen, pleit de OVV voor meer nationale regie om met ernstige kwetsbaarheden om te gaan. Daardoor moet niet alleen de overheid, maar ook het bedrijfsleven beter bestand zijn tegen dreigingen. Het NCSC heeft namelijk geen bevoegdheid om bedrijven in te lichten over de Citrix-kwetsbaarheid of vergelijkbare risico's.

Demissionair minister Ferd Grappershaus (Justitie en Veiligheid) zegt in een reactie op het rapport dat een wetsvoorstel het mogelijk moet maken om die informatie-uitwisseling te verbeteren.