Kamervragen over Citrix-servers, gaat dat niet wat ver?

Dit artikel delen:

Minister De Jonge van Volksgezondheid kreeg kamervragen van het CDA en SP over de aanvallen op de Citrix-servers van het Medisch Centrum Leeuwarden. Door de aanval werd besloten het ziekenhuis van de virtuele buitenwereld af te sluiten. Volgens het ziekenhuis zijn er geen gegevens buitgemaakt, maar toch wordt dit ineens een landelijk debat. Goed, of een beetje overdreven?

Eerder deze week werd bekend dat er een kwetsbaarheid in bepaalde Citrix-software zat en vermoedelijk had deze aanval op het ziekenhuis dan ook specifiek daarmee te maken. Citrix komt volgende week met een patch en in de tussentijd heeft het bedrijf een website opgezet om organisaties die van hun diensten gebruik maken van passende informatie te voorzien. 

Van den Berg, CDA-kamerlid, wil nu graag weten of er andere ziekenhuizen Citrix-servers gebruiken en of daar inbraakpogingen gedaan zijn. Het SP-kamerlid Hijink wil weten welke ziekenhuizen nog niet bij Z-Cert zijn aangesloten en waarom Z-Cert geen bericht op zijn site heeft staan met betrekking tot de risico's van het werken met Citrix.

Je zou denken: inmiddels is wel bekend hoe het zit met veiligheid, patiëntengegevens en al dat soort zaken. Zelfs als het misgaat, niet dat het de bedoeling is natuurlijk, zelfs dan is al bijna veertig jaar bekend dat computers en netwerken aangevallen kunnen worden. 

Met andere woorden: is dit een landelijke kwestie of worden hier mensen aan het werk gehouden op het ministerie over zaken waar ze geen fluit mee te maken hebben, wat denkt u?

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Dit was/is al veel langer bekend dat ziekenhuizen een doorgaans slechte IT beveiliging hebben. Heb het zelfs met eigen ogen gezien. Mede daarom wil ik absoluut niet aan een EPD meedoen want dat is niet veilig.

Johan, dus geen enkele EPD kan je goedkeuring dragen? En de gevolgen van een slechte IT beveiliging schat je hoger in dan de gezondheids risico's bij het hebben van te weinig informatie?

Ik snap je punt hoor maar ik doe een andere inschatting.

Wat is de kans? Wat is de impact? Wat zijn de gevolgen? Welke maatregelen kan ik treffen?

Als de redenering klopt dat, "omdat ziekenhuizen slechte IT beveliging hebben", ik niet mee zou doen met EPD, en dat soort redeneringen, dan zou ik altijd thuis moet blijven. 'Er gebeuren dagelijks ongelukken met auto's, dus mij niet gezien in een auto'.

En over de discussie: De Tweede Kamer: Als ik daar soms debatten zie en hoor over IT gerelateerde zaken slaat het plaatsvervangend schaamrood mij om de kaken. En als ik bijgaand citaat lees, krijg ik toch jeuk:

Van den Berg, CDA-kamerlid, wil nu graag weten of er andere ziekenhuizen Citrix-servers gebruiken en of daar inbraakpogingen gedaan zijn. Het SP-kamerlid Hijink wil weten welke ziekenhuizen nog niet bij Z-Cert zijn aangesloten en waarom Z-Cert geen bericht op zijn site heeft staan met betrekking tot de risico's van het werken met Citrix.

We slaan dan echt door met dit soort schijn-veiligheids-discussies. Natuurlijk zijn er meer ziekenhuizen met Citrix, dat is een tijd lang de facto standaard geweest. En natuurlijk zijn er meer ziekenhuizen, waar men al pogingen tot inbraak gedaan heeft, dat doet men overal waar interessante data te vinden is. En als Z-Cert iets op de website moet zetten over veiligheidsrisico's, dan moet elke software provider die info op de website zetten. (Als een soort: Let op: geld lenen kost geld, of Drank maakt meer kapot dan je lief is, of Kan sporen van noten bevatten.) Dat is namelijk inherent aan software: er zitten fouten in.

Als iedereen elk risico mijdt, omdat er iets zou kunnen gebeuren, dan zou de maatschappij onleefbaar worden en niet meer vooruit komen.
Ik zie inderdaad meer in het omgaan met de risico's die je nu eenmaal neemt in het leven, dan in het vermijden van elk risico en daardoor veel grotere problemen (voor jezelf?) veroorzaken.

Ach Johan,
die diskussie heb ik in mijn tijd ook vaak gehad. Toen lagen de patientendossiers van papier op vele plaatsen in het ziekenhuis zo voor het grijpen.

Wat mij stoort is 1 centraal EPD, daar heb je een extreme beveiliging voor nodig zodat niet de een of andere verzekeraar in de verleiding komt om zijn risico's te verkleinen.

Ik snap de angst, maar technisch gezien is het toch best te beveiligen dat bij diefstal niet alle data direct te lezen is?
LastPass is ook een cloud dienst, Google biedt zijn services ook vanuit een centrale omgeving aan (die vervolgens gedistribueerd en versleuteld is).

Dat we stemmen op papier doen kan ik mee leven, maar dat we medische gegevens niet eenvoudig en traceerbaar op kunnen slaan gaat er bij mij niet in.

@ henri,

neen het is niet te beveiligen accepteer dat nou maar gewoon. het is hooguit NU even TIJDELIJK veilig genoeg. technology is nog nooit een goede lange termijn oplossing geweest over meerder generaties voor menselijke problemen (technology gaat fundamenteel in tegen evolutie ivm de verschillende tijdschalen van de dynamiek).

neemt niet weg dat een risico analyse OP DIT MOMENT je doet besluiten dan toch maar een EPD te doen, maar ik zou dan wel ook wetgever graag met die ontwikkelingen mee zien gaan en de burger beschermen ipv in den beginnen als oorzaak van problemen of crimineel te behandelen in de digitale vooruitdrang van iedereen en alles [hallo... ja jij... belastingdienst].

kleine rant nu om mijn punt duidelijk te maken;

net zoals bij on-line bankieren waarbij alle risico bij de bank afgedenkt worden en op de klant afgewenteld zijn en dat tegelijkertijd de klant gedwongen wordt mee te internet bankieren omdat kantoren dicht gaan etc. etc. etc. het eeuwen oude probleem van commercieel gemotiveerde systeem denkers die voor de 80% gaan en de resterende 20% gewoon laten zitten. daar is dus een overheid voor nodig en die is dus cruciaal in de huidige digidrang. het is de nederlandse bank die de andere banken en bedrijven erop wijzen dat er altijd nog een noodzaak is voor contante betalingen om allerlij redenen. ik ben een actieve publicerende gepromoveerd academicus (en IT techneut/programmeur) van middelbare leeftijd. mijn tijd zal het wezen, ik val in de gunstige demografie, maar kijk nu eens op straat, daar lopen ook andere mensen rond, verwarde, hulp zoekende, ouder, hele jonge, gehandicapten etc. etc. etc. die 20% die links gelaten wordt en het maar mag uitzoeken? dog-eat-dog, recht van de sterkste, markt-werking? begrijp we het niet? iedereen zal eens in zijn leven tot die zwakkere 20% gaan behoren!

terug naar de citrix;

waarom is het nu zo een drama allemaal? dat er even niet met citrix gewerkt kan worden totdat er een fatsoenlijke patch is? een weekje? stort de wereld nu voor die 80%-ers in elkaar? krijgen we daarom politieke paniek reacties? of zijn dit soort incidenten de laatste jaren nu te vaak aan de orde en is het eerder een signaal van de huidige digitale stand van zaken van onze maatschappij? dat er kamervragen zijn hierover, en het gezeur in maastricht even in mijn achterhoofd erbij, laat wel vrij PIJNLIJK duidelijk zien dat we TE afhankelijk geworden zijn van die digidrang en de systeem denkers die voor de 80% gaan!

het is nu paniek-voetbal-tijd. dus pak pop-corn en kijk rond als je net als ik een 80%-er bent.

[sarcasme, dus niet letterlijk mijn mening;

zit je in de 20%? sorry, voor jouw is geen ruimte meer, in de zorg, in de klas en er zal geen huis voor je zijn als je een jonkie bent, er is geen plaats voor je in deze ren mee of sterf af maatschappij.]

@Henri,
Google en EPD is niet conform de gdpr, De laatst paar jaar zijn bij google ontwikkelingen te zien die op gebied van privacy niet bepaald optimistisch stemmen, iedere monopolist is een risico.

Het gaat erom dat het technisch kan. Een monopolist is inderdaad niet handig. Tot een protocol komen met meerdere partijen lijkt ook lastig en een overheid iets laten ontwikkelen lijkt ook een slecht idee.

Maar dit is weer erg off-topic. In mijn ogen is de Citrix kwetsbaarheid de ernstigste die we tot nu toe gezien hebben ooit. Dus Kamervragen in de deze vind ik niet overtrokken.

Het schijnt dat niet alleen ziekenhuizen getroffen zijn maar ook gemeenten en ander overheidsorganisaties want het 'Any Time & Any Place' werken is gebaseerd op een toegang via Citrix servers welke uit voorzorg uitgezet zijn. Betreffende voorzorgen zouden de kamervragen wat mij betreft dan ook moeten gaan om de vrijblijvendheid van adviezen, het uitzetten van de servers is een vergaande maatregel omdat daarmee de continuïteit van een organisatie in het geding komt. En daarom worden de adviezen van een Computer Emergency Response Team nog vaak genegeerd, een parlementair enquête lijkt me op zijn plaats om de positie van het NCSC te verbeteren.

Ik heb in 1996 eenmaal Citrix verkocht aan een klant die met pc-anywhere werkte en hun pc's daarvoor aan lieten staan. Toen kwam NT-4 Terminal Server Edition in 97 en heb ik nooit meer een reden gezien om - soms uikomend op meer dan 100.000 per jaar euro extra - Citrix aan te bieden. Soms aanvaardden klanten offertes van andere leveranciers voor duizenden euro's meer omdat ze werden overtuigd dat ze toch echt wel Citrix nodig hadden. Het enige verhaal wat we dan soms kregen, was dat het verbindingsprotocol over ip zoveel beter zou zijn en betere load-balancing. Maar effectiviteit van RDP van terminal server is voor ons nooit een obstakel geweest en load-balancing kon je nog veel beter (pseudo)statisch regelen. RDP licenties van Microsoft vielen ten opzichte van full clients al vrij duur uit en zorgden menigmaal voor kasten met 'blades', lekker met 4 GB ieder zodat er hoogstens 1 à 1,2 GByte totaal overbleef voor maximaal 5, 6 gebruikers die doodziek werden van de slechte prestaties.

Systeembeheerders waren vaak de architectuurbeslissers, gebruikten Windows Server 3.5/NT als een Novell 3.11 Server met een grafische interface voor file- en printer-sharing zonder te kijken wat er in 2000/2003/2008 Server allemaal gebeurde. Met name de omwenteling in 2000 Server werd jarenlang gemist. O.a. COR's van politiediensten eisten zelfs nog NT-4 in 2002 omdat ze geen risico's met nieuwe meuk wensten te nemen. Dat 32 bit Terminal Server tot 32 GByte kon gebruiken door de kernel en ieder gebruiken een blok tot 4 GByte te geven, werd door de dames en heren HP-resellers wijselijk onder de pet gehouden - als ze het al wisten - en 64-bit printer drivers waren om duistere redenen jarenlang nog niet beschikbaar. Soms zaten 16-bit applicaties zogenaamd in de weg.

Wat mij nu weer niet duidelijk is, is waarom al die organisaties niet alsnog Citrix eraf gooien en Remote Desktop Session Host op hun servers aan zetten. Er is inmiddels een fantastische HTML5 client die niets meer op de client nodig heeft (mstsc) en zelfs op het scherm van een Tesla mooi en automatisch schaalt en automatisch optimale character- en icon-grootte instelt. Werkt op letterlijk ieder smartphone, tablet, Linux/Mac/Windows-Desktop. Kost alleen een beetje minder en daar zit wellicht het probleem.

Rob Koelmans,
De overtuiging voor Citrix eind jaren 90 was nogal duidelijk, NT-4 Terminal Server mistte nog een groot aantal beheer(s)mogelijkheden welke de toenmalige MetaFrame wel had. Het principe van de multi-user omgeving voor een single-user applicatie gaat niet alleen om het toegangsprotocol. Middels het Terminal Server concept werd het vooral mogelijk om legacy in het applicatie portfolio achter een gateway te schuiven zodat gebruikers device- en plaatsonafhankelijk konden werken via een thin client zonder aanpassingen in het applicatie portfolio met als gevolg veel achterstallig onderhoud.

Nadeel van dit concept is dat als je gateway de strategische component in je architectuur wordt en je hierin een grote afhankelijkheid hebt van de leverancier aangaande patches dan loop je - zoals ik 24 september 2014 al voorspelde in een opinie - een risico aangaande je bedrijfcontinuïteit als je geen plan B hebt. Of zoals ik het toen zei:

'If a country loses data sovereignty (in exchange for #Microsoft patches), they also lose political sovereignty and security' - Caspar Bowden

@OudLid, citaat: "Het principe van de multi-user omgeving voor een single-user applicatie gaat niet alleen om het toegangsprotocol."

Jawel, hoor. Het ging wel alleen maar om het toegangsprotocol. Ik heb meerdere keren discussies met pakketleveranciers van klanten kunnen beslechten door op een nt-werkplek of -server ingelogd te staan op twee of meer gebruikers-profielen (waarbij je dan zonder afmelden van de ene user-sessie naar de andere sprong) en waarbij hun data even corrupt ging als met terminal sessies. Dan vroeg ik hoe ze dat dan met Citrix dachten te gaan oplossen. Dit viel eventueel wel met applicatie-virtualisatie op te lossen maar dat was er toen nog niet. In één geval werd het een applicatieontwikkelaar ineens duidelijk hoe een aantal nooit opgeloste problemen in het verleden ontstaan kon zijn. Zonder die lakmoesproef waren meerdere klanten alsnog naar Citrix-investeringen gegaan.

Rob,
Het springen tussen de verschillende sessies zonder afmelden gaf vooral problemen met het profiel en ik denk dat die applicatieontwikkelaar waarover je het hebt dat uiteindelijk ook door had.

Problemen met het profiel? Ik ben je kwijt, OudLid.

Rob,
Het laden/ontladen van het gebruikersprofiel (NTuser.dat) leverde dus de problemen op die jij beschrijft. Na 20 jaar kijken we nog altijd tegen deze problematiek aan hoewel toevoeging van SSD hierin deels een oplossing biedt. Het principe van de gebruiker naar de data toebrengen middels een terminal server concept of data naar de gebruiker brengen kent een duidelijke verschuiving in het informatiebeheer dus ook al zie jij de voordelen van terminal services niet, ze zijn er wel.

@Oudlid: het laden/ontladen van het profiel werkte feilloos. Veel applicaties hadden alleen user-sessie specifieke opslag niet geïsoleerd binnen het user profiel. Dat kwam allemaal zo van Window98 en eerder af, was wel user-sessie specifiek maar zat zonder onderscheid in globale (programma)folders.

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2020-01-17T08:06:00.000Z Krijn Soeteman
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.