De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) concludeerde begin 2020 dat een buitenlandse staat de Rijksoverheid aanviel. Omdat details over de aanval staatsgeheim waren, wisten overheidsorganisaties niet of zij een streng advies van het Nationaal Cyber Security Centrum, dat vier dagen later kwam, moesten opvolgen. Dat blijkt uit een rapport van de Onderzoeksraad voor Veiligheid (OVV) dat donderdag is gepubliceerd.

Uit het onderzoek blijkt dat de AIVD op 12 en 13 januari 2020 "offensieve activiteiten" door een buitenlandse staat vaststelde. De aanval was mogelijk door een lek in software van Amerikaanse fabrikant Citrix en was een "acute dreiging" voor de Rijksoverheid.

Het duurde tot 17 januari voor de AIVD het Nationaal Cyber Security Centrum (NCSC) van het directe gevaar op de hoogte bracht. De geheime dienst wilde dat het NCSC de overheid zou adviseren om alle Citrix-servers uit te schakelen.

Het NCSC wilde juist dat overheidsorganisaties hun eigen afweging zouden maken. Een dag eerder adviseerde het NCSC nog om het uitschakelen enkel te overwegen.

Toen het NCSC alsnog het strenge AIVD-advies uitbracht, zorgde dat voor verwarring bij ontvangers van het bericht. "Organisaties [van de Rijksoverheid konden daardoor niet] inschatten of het verzwaarde advies ook voor hen gold en of zij actie moesten ondernemen", schrijft de OVV.

Uiteindelijk schakelden 42 van de 56 rijksorganisaties die de Citrix-software gebruiken die uit. Ook de meeste van de tien ministeries die van Citrix gebruikmaken haalden de servers offline.

Welk land Nederland precies aanviel via het Citrix-lek is niet duidelijk. De AIVD heeft later alleen gezegd "dat onder meer Russische statelijke actoren een kwetsbaarheid in Citrix-software op grote schaal hadden misbruikt".