image

Ggz-instelling Pro Persona schakelt Citrix-systemen uit

vrijdag 24 januari 2020, 14:22 door Redactie, 11 reacties

De Gelderse GGZ-instelling Pro Persona heeft alle Citrix-systemen uitgeschakeld nadat er mogelijk misbruik is gemaakt van de kwetsbaarheid in de software. Pro Persona biedt specialistische zorg aan kinderen en volwassenen met psychische problemen.

De instelling heeft vestigingen in onder andere Arnhem, Ede en Nijmegen. Pro Persona meldt op de eigen website dat applicaties tijdelijk niet bereikbaar zijn. "Uit aanvullend onderzoek is gebleken dat er mogelijk misbruik is gemaakt van de Citrix-toegang binnen Pro Persona. Daarom heeft Pro Persona onder meer de thuiswerk-omgeving en de toegang tot internet vanuit de werkplek dichtgezet."

Volgens de GGZ-instelling moet de maatregel ervoor zorgen dat aanvallers geen toegang tot gegevens van cliënten of medewerkers kunnen krijgen. Pro Persona laat verder weten dat er een nader onderzoek is ingesteld en dat er melding bij de Autoriteit Persoonsgegevens is gemaakt. Naar aanleiding van het Citrix-lek en mogelijk misbruik hiervan heeft de Autoriteit Persoonsgegevens al 29 meldingen ontvangen.

Reacties (11)
24-01-2020, 14:28 door Anoniem
Aha, ik ruik bloed hier...... Nu pas CITRIX uitschakelen.
24-01-2020, 14:31 door Anoniem
Beetje laat, leven die beheerders onder een steen?
24-01-2020, 15:02 door Anoniem
Door Anoniem: Beetje laat, leven die beheerders onder een steen?

Ik denk dat ze vrij lang in Nijmegen en omgeving vooral dachten - geen paniek!!!!
24-01-2020, 15:42 door Anoniem
Mocht er nou blijken dat ze nu 'pas' Citrix uitschakelen, zou er dan spraken kunnen zijn van nalatigheid (als er een datalek blijkt te zijn)?

Het hele Citrix verhaal was zo uitgebreid op het nieuws dat je toch wel kan aannemen dat elk (groot) bedrijf met kritieke data en wat gebruik maakt van Citrix hiervan op de hoogte is...
24-01-2020, 15:46 door Anoniem
uhhh... maar er is allang een patch (en bij ons maandag al uitgevoerd!)

Dus niet alleen hun zorg is zwaar benedenmaats, maar de hele organisatie
24-01-2020, 16:18 door Anoniem
Door Anoniem: uhhh... maar er is allang een patch (en bij ons maandag al uitgevoerd!)

Dus niet alleen hun zorg is zwaar benedenmaats, maar de hele organisatie

De "mitigation steps" (dus niet de definitieve patches) hadden al na de melding door Citrix van 16 december 2019 moeten worden uitgevoerd (of na de alerte melding door het NCSC op 18 december).

De definitieve patches voor de verschillende versies van Citrix Netscaler zijn op verschillende dagen uitgebracht, de eerste op zondag 19 januari, de laatste vandaag 24 januari.
https://www.citrix.com/blogs/2020/01/23/fixes-now-available-for-citrix-adc-citrix-gateway-versions-12-1-and-13-0/

Vervolgens moet er ook een test met de "Indicator of Compromise Scanning Tool" worden uitgevoerd op mogelijke sporen van besmetting:
https://www.security.nl/posting/640540/Citrix+lanceert+gratis+tool+voor+detectie+gecompromitteerde+systemen
https://github.com/citrix/ioc-scanner-CVE-2019-19781/

Als de aanbevolen "mitigation steps" van 16 december 2019 nog niet waren uitgevoerd voor 9 januari 2020 (en de Citrix netscaler dus na 9 januari open heeft gestaan voor aanvallers) moet je uitgaan van het "worst case scenario", dus dat je netwerk besmet is geraakt. Bijvoorbeeld met een "hidden user", of "dormant malware".

Uit de verklaring van Pro Persona volgt niet of, en zo ja wanneer, de "mitigation steps" zijn uitgevoerd.

GGZ-instelling Pro Persona zegt nu: ".. Uit aanvullend onderzoek is gebleken dat er mogelijk misbruik is gemaakt van de Citrix-toegang binnen Pro Persona. Daarom heeft Pro Persona onder meer de thuiswerk-omgeving en de toegang tot internet vanuit de werkplek dichtgezet."

Als er nu met "aanvullend onderzoek" bedoeld wordt de "Indicator of Compromise Scanning Tool", dan kan ik Pro Persona volledig gelijk geven dat ze hun Citrix netscaler nu alsnog uitschakelen.
24-01-2020, 16:25 door Anoniem
Door Anoniem: Aha, ik ruik bloed hier...... Nu pas CITRIX uitschakelen.

Ik ben benieuwd of hier ook kamer-vragen over gesteld gaan worden.

Iets in de trand van:
- is dit symptomatisch voor de hele zorgsectror.
- hoeveel andere zorginstellingen hebben hun ICT ook niet op orde
- hoe gaat de minster afdwingen dat (patient)data beter beveiligd gaan worden binnen de zorgsector [EPD spook, of jaarlijkse IT audit]
- kunnen zorginstellingen onder curatele gesteld worden, dan wel opgeheven worden of hun vergunning verliezen als zij hun ict zo slecht op orde hebben
etc etc etc
24-01-2020, 17:52 door Anoniem
Dit is geen call geweest van beheerders maar van managers.
24-01-2020, 19:08 door Anoniem
Door Anoniem: Als er nu met "aanvullend onderzoek" bedoeld wordt de "Indicator of Compromise Scanning Tool", dan kan ik Pro Persona volledig gelijk geven dat ze hun Citrix netscaler nu alsnog uitschakelen.

Nee, dat is de verkeerde volgorde.
Je zet eerst de gateway uit (of isoleert hem in ieder geval van de buitenwereld) en dan ga je "nader onderzoek" doen. Eerst crisimaatregelen, dan onderzoek en repareren. Anders steek je je hoofd in het zand voor de risico's.
Als jou redenatie gevolgd is, dan is Pro Persona extra lang kwetsbaar geweest vanwege dat "nader onderzoek".

Dat uitzetten had op zijn vroegst 16 december al kunnen gebeuren, op zijn laatst toen het advies van de overheid kwam.
Niet nu pas, omdat er misschien iets gebeurd is.
25-01-2020, 12:14 door Anoniem
Huh, Citrix lek?
27-01-2020, 04:16 door Anoniem
Hoop dat ze een flinke boete krijgen.
Nu pas maatregelen nemen is wel erg laat.

En ze kunnen onmogelijk zeggen dat ze niet op de hoogte waren van het lek.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.