Het Nationaal Cyber Security Centrum (NCSC) heeft mede op advies van de AIVD de Rijksoverheid en vitale organisaties dringend aangeraden om Citrix-servers uit te schakelen. Tevens heeft het ministerie van Volksgezondheid een waarschuwing voor zorginstellingen afgegeven waarin het uitschakelen van Citrix-servers wordt aangeraden, tenzij de veiligheid van patiënten in gevaar komt.

"Het is aan de organisaties zelf om af te wegen wat de impact is van het eventueel uitschakelen van Citrix en wat het belang is van continuïteit van primaire processen. Indien organisaties besluiten Citrix niet uit te schakelen, adviseert het NCSC met klem aanvullende maatregelen te treffen en intensief te monitoren", zo laat het ministerie van Justitie en Veiligheid weten.

Volgens het ministerie hebben al verschillende organisaties uit eigen afweging besloten om Citrix uit te schakelen. Binnen de Rijksoverheid zal de Chief Information Officer (CIO)-Rijk in overleg met de organisaties bepalen welke systemen worden uitgeschakeld, dan wel moeten blijven doordraaien met aanvullende beveiligingsmaatregelen.

Het ministerie van Volksgezondheid geeft ook het advies om Citrix-servers uit te schakelen. "Tenzij de patiëntveiligheid hierdoor in gevaar komt. In alle gevallen is het advies om alle door Citrix aanbevolen maatregelen te nemen en systemen intensief te monitoren op mogelijk misbruik." Verder stelt het ministerie dat het risico op misbruik groot is, alsmede de impact die een aanval kan hebben. "Door deze kwetsbaarheid in het Citrix-systeem kunnen hackers toegang krijgen tot het computersysteem van uw organisatie." Volgende week en de weken daarna komt Citrix met een beveiligingsupdate voor de kwetsbaarheid.