De Onderzoeksraad heeft onderzoek gedaan naar beveiligingslekken als gevolg van kwetsbaarheden in software van Citrix. De Raad verrichtte ook onderzoek naar andere, vergelijkbare voorvallen.
SCROLL
Voorval
Bedrijfsnetwerk
Citrix-server
Kwetsbaarheden in Citrix- en andere software hebben geleid tot onveiligheid voor organisaties die deze software gebruiken en voor hen die van deze organisaties afhankelijk zijn.
SCROLL
Software
Softwareproducten zijn altijd kwetsbaar. Fabrikanten voegen nieuwe functies toe aan bestaande producten, hergebruiken bestaande componenten of bouwen lagen in de architectuur.
SCROLL
Organisaties
Organisaties hebben niet altijd de expertise en capaciteit om risico's te analyseren, deze af te wegen en maatregelen te nemen, of zien de urgentie daar niet van in.
SCROLL
Incidentbestrijding
Bestrijding in Nederland van digitale incidenten kent geen nationale structuur, die het mogelijk maakt om alle potentiële slachtoffers tijdig te waarschuwen.
SCROLL
Beleid
Wereldwijd afspraken maken over veilige software en cyberaanvallen is moeilijk vanwege onderlinge verschillen en eigen inlichtingen- en opsporingsactiviteiten.
SCROLL
Leren van voorvallen
Betrokken partijen in het digitale domein kunnen beter leren van voorvallen. Ook moeten lessen uit voorvallen zo breed mogelijk worden verspreid.
SCROLL
Aanbevelingen
Digitale afhankelijkheid en dreiging van beveiligingslekken worden steeds groter. Snel en fundamenteel ingrijpen is noodzakelijk om te voorkomen dat de maatschappij ontwricht raakt.
Aan de Europese commissie: Zorg voor Europese wetgeving voor veiligere software, en leg vast dat fabrikanten aansprakelijk zijn voor gevolgen van softwarekwetsbaarheden.
Aan softwarefabrikanten: Ontwikkel met andere fabrikanten good practices om software veiliger te maken.
Aan softwarefabrikanten: Waarschuw en help zo snel en doeltreffend mogelijk bij signalering van kwetsbaarheden in software.
Aan het Nederlandse kabinet en organisaties die software gebruiken: Zorg dat alle potentiële slachtoffers van cyberaanvallen tijdig worden gewaarschuwd.
Aan het kabinet: Verplicht alle organisaties om verantwoording af te leggen hoe zij digitale veiligheidsrisico's beheersen.
Aan de ministeries van BZK en EZK: Bevorder dat organisaties en consumenten gezamenlijk veiligheidseisen formuleren en afdwingen bij softwarefabrikanten.
Aan het kabinet: Creëer een wettelijke basis voor de beheersing van digitale veiligheid.