De Rijksoverheid wordt dringend geadviseerd Citrix uit te schakelen. Dat is de nieuwe aanbeveling van het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid, mede op basis van advies van de inlichtingendienst AIVD.

Ook vitale organisaties, zoals de energievoorziening, de telecom- en de financiële sector, wordt aangeraden Citrix uit te zetten, dat onder meer wordt gebruikt om thuiswerken mogelijk te maken.

"Je kan Citrix zien als de poortwachter die tussen het openbare internet staat en het veilige, interne bedrijfsnetwerk", legt onderzoeker Frank Breedijk van het Nederlands Security Meldpunt uit. "Als net die poortwachter een kwetsbaarheid bevat, is het kinderspel om een apparaat in dat netwerk over te nemen."

'Grote gevolgen'

Eerder gisteravond adviseerde NCSC al te 'overwegen' de Citrix-servers uit te zetten vanwege een lek dat vorige maand werd geconstateerd. Daarop schakelden Schiphol, de Tweede Kamer en verschillende onderwijsinstellingen en gemeenten het systeem al uit.

Het abrupt uitschakelen van Citrix kan grote gevolgen hebben voor de uitvoering van belangrijke taken van de bewuste organisaties, waarschuwt het NCSC. De organisaties zullen zelf moeten beoordelen of Citrix kan doordraaien met aanvullende veiligheidsmaatregelen.

De 'Chief Information Officier' van het Rijk zal in overleg met de organisaties binnen de overheid beoordelen welke systemen worden uitgeschakeld of met aanvullende beveiliging overeind kunnen blijven.

Lek in beveiliging

In december bleek dat er een lek zit in de beveiliging van Citrix. Hackers zouden dat kunnen gebruiken om bedrijfsnetwerken binnen te komen en te infecteren. Ook zou persoonsgevoelige informatie op straat kunnen komen te liggen.

Het NCSC zegt de situatie nauwlettend te volgen en zal de adviezen blijven actualiseren. De ernstige kwetsbaarheid in het systeem is voor het centrum reden om te spreken van een waarschuwing in de hoogste klasse.