Wat kunnen we leren van de Citrix-heisa? Best veel!

1. Iedere softwareomgeving vertoont zwakke plekken. Door updates, upgrades, veranderingen in het besturingssysteem en de software zelf is dat onvermijdelijk. Een instelling zal zo veel mogelijk moeten blijven testen, work-arounds om zwaktes heen verzinnen en bijblijven met patches en updates.
2. Sommige zwaktes kennen wij nog niet maar de hackers wel. En in dit geval ging het zelfs om een rapport van een bedrijf dat aan Citrix openlijk een zwakte meldde waarmee de hackers gelijk aan de slag gingen. En blijkbaar was het een lastige zwakte want het kostte Citrix, toch best een heel grote firma, veel tijd om met een oplossing te komen.
3. De meeste instellingen waren hier niet echt op voorbereid. Hun enige antwoord was de Citrix-omgeving dan maar uit zetten, met de Citrix-files als gevolg. Nu is het ook lastig om je op dit soort situaties voor te bereiden. Maar het geeft te denken wat er gaat gebeuren als vitale systemen getroffen worden door een dergelijke aanval. Een epd kan ook uitgezet worden maar dan staat de zorg wel stil.
4. We zijn al ver met de verdeling van werk tussen thuis en de werkplek. Blijkbaar zo ver dat er direct files ontstaan wanneer we allemaal weer op de werkplek moeten komen. Ik vraag me af of er wel genoeg werkplekken zijn in de afschuwelijke kantoortuinen (mensen werken niet voor niets liever thuis). En of het geen ander gedoe geeft als we allemaal op het werk verschijnen. Thuiswerk is geen luxe meer maar een onderdeel van het bedrijfsmodel en het moet ondersteund worden door de ict.
5. We zijn, ook in de zorg, volkomen afhankelijk van niet-sexy ict. Samen met de Office-omgeving, email en internettoegang vormt Citrix op dit moment de saaie ruggengraat van het administratieve en bedrijfsmatige, al dan niet thuis-, werken. In de zorg- en andere instellingen. En over deze ruggengraat hoor je bijna niemand als het gaat over beleid en informatiebeveiliging.

Als informatiebeveiliger haal ik ook wat uit de Citrix-problematiek:

Wat uit  vooral naar voren komt is dat ook de zorg sterk afhankelijk is geworden van niet-zorg software, van gewone kantoor- en thuiswerkprogrammatuur. Het zal niet de laatste keer zijn dat onrust ontstaat bij disfunctioneren daarvan, tenzij de zorg veel meer geld en energie gaat steken in allerlei vormen van informatiebeveiliging.
We zien dat de verplichte norm voor informatiebeveiliging in de zorg, de NEN 7510, nog steeds niet goed geïmplementeerd is. De meeste punten die nu naar voren komen zijn al lang benoemd in de NEN 7510. Updates, patches, testen, inlogmiddelen, oefenen van uitval en andere doemscenario’s, kritische systemen benoemen, overwegen en er beleid over maken, het staat allemaal in de NEN. We kunnen er zo mee aan de slag.

Mede namens iedereen die maandag in de Citrix-file stond: bedankt!