Via de serversoftware van Citrix kan extern worden gewerkt met de software die ook op kantoor wordt gebruikt. Doordat bij het rijk die toegang sinds vrijdagavond is afgesloten, moeten alle ambtenaren die normaliter thuis of op locatie werken nu een vaste plek zien te vinden. De ANWB waarschuwde daarom vanochtend voor ‘citrixfiles’.

Ministeries en rijksdiensten hebben dit weekend extra werkplekken ingericht, maar onduidelijk is of die voldoende zijn. “Aan medewerkers is gevraagd zo veel mogelijk rekening te houden met de situatie en flexibel om te gaan met de beschikbare werkplekken,” aldus het ministerie van Binnenlandse Zaken. “Ze hebben wel toegang tot de mail via hun smartphone of tablet.”

Ook Tweede Kamerleden hebben geen toegang tot hun beveiligde e-mail en moeten daarom de komende dagen vanuit het Kamergebouw werken. Als dat niet mogelijk is, mogen zij van het ministerie van Binnelandse Zaken Kamervragen indienen via hun privé-account.

Amsterdam weer toegang

Amsterdam, dat donderdagavond de stekker uit zijn thuiswerksystemen trok, heeft weer toegang tot de systemen gegeven. Sinds maandagochtend zeven uur zijn de werksystemen weer bereikbaar via een alternatieve methode. “Dat betekent dat het voor medewerkers van de gemeente Amsterdam weer mogelijk is om van buitenaf in te loggen op de systemen,” aldus gemeentesecretaris Ad Tissink.

“Sinds donderdagavond is hard gewerkt aan maatregelen om Citrix weer veilig te krijgen. Wij gaan ervan uit dat de aanvullende maatregelen die zijn genomen voldoende zijn om Citrix weer operationeel te hebben. Tegelijkertijd zullen we reguliere, geplande veiligheidsmaatregelen uitvoeren.”

De stap voldoet volgens de gemeente aan de voorschriften. “We hebben rekening gehouden met de adviezen van de NCSC en andere partijen die ons hierbij ondersteunen. We houden de ontwikkelingen continu scherp in de gaten en zullen wanneer dat nodig is nadere maatregelen treffen.”

Kwetsbaar

Het lijkt erop dat de problemen in Den Haag eind deze week zijn opgelost. Citrix heeft inmiddels een update vrijgegeven waardoor het gat in de beveiliging van de systemen wordt gedicht. Die update geldt niet voor alle versies van het programma. Een definitieve oplossing is vrijdag beschikbaar. Die moet dan nog wel worden geïnstalleerd voordat de systemen weer in de lucht gaan.

Een eerdere beveiligingsupdate van Citrix bleek vorige week niet afdoende te werken. Vorig weekend dook hackerssoftware op die de lekken kon misbruiken. Veel Citrixgebruikers hebben daarna nog zeker een week onveilige software gebruikt. Dat kan ertoe leiden dat anderen ongemerkt toegang tot hun systemen hebben gekregen om daar software te verstoppen die later alsnog kan worden geactiveerd.