NCSC adviseert Citrix uit te schakelen waar dat geen ernstige gevolgen heeft

Het Nationaal Cyber Security Centrum (NCSC) heeft Rijksoverheid en vitale organisaties, zoals energievoorziening, de telecom- en de financiële sector, die werken met Citrix geadviseerd deze uit te schakelen. Het kan zijn dat het abrupt uitschakelen van Citrix grote gevolgen heeft voor de uitvoering van belangrijke taken van de aangewezen organisaties. Dan moet de organisatie beoordelen of Citrix kan doordraaien met aanvullende veiligheidsmaatregelen.

Het is aan de organisaties zelf om af te wegen wat de impact is van het eventueel uitschakelen van Citrix en wat het belang is van continuïteit van primaire processen. Indien organisaties besluiten Citrix niet uit te schakelen, adviseert het NCSC met klem aanvullende maatregelen te treffen en intensief te monitoren. Op dit moment maken al veel organisaties voor zichzelf de afweging en besluiten zij ook in sommige gevallen Citrix uit te schakelen.

Aan de Rijksoverheid heeft het NCSC, mede op basis van een beveiligingsadvies van de AIVD, dringend geadviseerd om Citrix systemen af te schakelen. Omdat ook hier geldt dat het abrupt uitschakelen van Citrix systemen grote gevolgen kan hebben voor de uitvoering van belangrijke taken van de Rijksoverheid, beoordeelt de Chief Information Officer (CIO)-Rijk in overleg met de organisaties binnen de Rijksoverheid welke systemen worden uitgeschakeld, danwel welke systemen moeten blijven doordraaien met aanvullende beveiligingsmaatregelen.

Het NCSC blijft de situatie nauwlettend volgen en blijft in contact met Citrix. Het NCSC zal net als afgelopen dagen de adviezen steeds actualiseren. Op 17 december heeft Citrix de eerste melding gedaan van een ernstige kwetsbaarheid in het systeem. Het gaat volgens het NCSC om een waarschuwing in de hoogste klasse: 9,8 op een schaal van 10. Het NCSC heeft eigen technisch onderzoek gedaan naar aanleiding van de melding van Citrix en een beveiligingsadvies uitgebracht.