Ggz-instelling Pro Persona schakelt Citrix-systemen uit
De Gelderse GGZ-instelling Pro Persona heeft alle Citrix-systemen uitgeschakeld nadat er mogelijk misbruik is gemaakt van de kwetsbaarheid in de software. Pro Persona biedt specialistische zorg aan kinderen en volwassenen met psychische problemen.
De instelling heeft vestigingen in onder andere Arnhem, Ede en Nijmegen. Pro Persona meldt op de eigen website dat applicaties tijdelijk niet bereikbaar zijn. "Uit aanvullend onderzoek is gebleken dat er mogelijk misbruik is gemaakt van de Citrix-toegang binnen Pro Persona. Daarom heeft Pro Persona onder meer de thuiswerk-omgeving en de toegang tot internet vanuit de werkplek dichtgezet."
Volgens de GGZ-instelling moet de maatregel ervoor zorgen dat aanvallers geen toegang tot gegevens van cliënten of medewerkers kunnen krijgen. Pro Persona laat verder weten dat er een nader onderzoek is ingesteld en dat er melding bij de Autoriteit Persoonsgegevens is gemaakt. Naar aanleiding van het Citrix-lek en mogelijk misbruik hiervan heeft de Autoriteit Persoonsgegevens al 29 meldingen ontvangen.
Ik denk dat ze vrij lang in Nijmegen en omgeving vooral dachten - geen paniek!!!!
Het hele Citrix verhaal was zo uitgebreid op het nieuws dat je toch wel kan aannemen dat elk (groot) bedrijf met kritieke data en wat gebruik maakt van Citrix hiervan op de hoogte is...
Dus niet alleen hun zorg is zwaar benedenmaats, maar de hele organisatie
Dus niet alleen hun zorg is zwaar benedenmaats, maar de hele organisatie
De "mitigation steps" (dus niet de definitieve patches) hadden al na de melding door Citrix van 16 december 2019 moeten worden uitgevoerd (of na de alerte melding door het NCSC op 18 december).
De definitieve patches voor de verschillende versies van Citrix Netscaler zijn op verschillende dagen uitgebracht, de eerste op zondag 19 januari, de laatste vandaag 24 januari.
https://www.citrix.com/blogs/2020/01/23/fixes-now-available-for-citrix-adc-citrix-gateway-versions-12-1-and-13-0/
Vervolgens moet er ook een test met de "Indicator of Compromise Scanning Tool" worden uitgevoerd op mogelijke sporen van besmetting:
https://www.security.nl/posting/640540/Citrix+lanceert+gratis+tool+voor+detectie+gecompromitteerde+systemen
https://github.com/citrix/ioc-scanner-CVE-2019-19781/
Als de aanbevolen "mitigation steps" van 16 december 2019 nog niet waren uitgevoerd voor 9 januari 2020 (en de Citrix netscaler dus na 9 januari open heeft gestaan voor aanvallers) moet je uitgaan van het "worst case scenario", dus dat je netwerk besmet is geraakt. Bijvoorbeeld met een "hidden user", of "dormant malware".
Uit de verklaring van Pro Persona volgt niet of, en zo ja wanneer, de "mitigation steps" zijn uitgevoerd.
GGZ-instelling Pro Persona zegt nu: ".. Uit aanvullend onderzoek is gebleken dat er mogelijk misbruik is gemaakt van de Citrix-toegang binnen Pro Persona. Daarom heeft Pro Persona onder meer de thuiswerk-omgeving en de toegang tot internet vanuit de werkplek dichtgezet."
Als er nu met "aanvullend onderzoek" bedoeld wordt de "Indicator of Compromise Scanning Tool", dan kan ik Pro Persona volledig gelijk geven dat ze hun Citrix netscaler nu alsnog uitschakelen.
Ik ben benieuwd of hier ook kamer-vragen over gesteld gaan worden.
Iets in de trand van:
- is dit symptomatisch voor de hele zorgsectror.
- hoeveel andere zorginstellingen hebben hun ICT ook niet op orde
- hoe gaat de minster afdwingen dat (patient)data beter beveiligd gaan worden binnen de zorgsector [EPD spook, of jaarlijkse IT audit]
- kunnen zorginstellingen onder curatele gesteld worden, dan wel opgeheven worden of hun vergunning verliezen als zij hun ict zo slecht op orde hebben
etc etc etc
Nee, dat is de verkeerde volgorde.
Je zet eerst de gateway uit (of isoleert hem in ieder geval van de buitenwereld) en dan ga je "nader onderzoek" doen. Eerst crisimaatregelen, dan onderzoek en repareren. Anders steek je je hoofd in het zand voor de risico's.
Als jou redenatie gevolgd is, dan is Pro Persona extra lang kwetsbaar geweest vanwege dat "nader onderzoek".
Dat uitzetten had op zijn vroegst 16 december al kunnen gebeuren, op zijn laatst toen het advies van de overheid kwam.
Niet nu pas, omdat er misschien iets gebeurd is.
Nu pas maatregelen nemen is wel erg laat.
En ze kunnen onmogelijk zeggen dat ze niet op de hoogte waren van het lek.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer (CISO) & Privacy Officer
Wij zoeken één medewerker die deze twee functies van 18 uur per week gezamenlijk wil gaan invullen. De functies zijn hiërarchisch gepositioneerd onder de afdeling Dienstverlening en Informatiebeheer (DIB). Inhoudelijk wordt mede verantwoording afgelegd aan de concerncontroller en gemeentesecretaris. Wil jij deze rol binnen onze bruisende organisatie?
Security Trainer
Ben jij een trainer die het leuk vindt om je hacker mindset en security-skills over te dragen aan anderen? Zie jij het als een uitdaging om hands-on securitytrainingen te verzorgen voor een divers publiek en zijn kritische vragen en eigenwijze techneuten voor jou geen probleem? Dan zoeken wij jou!
Are you ready for a challenge?