Beveiligingslek Citrix geeft problemen op sommige universiteiten

Beveiligingslek Citrix geeft problemen op sommige universiteiten

Vanwege een beveiligingslek in de software van thuiswerksysteem Citrix hebben verschillende universiteiten en hogescholen de online omgeving dit weekend afgesloten. Het is nog niet duidelijk wanneer alle problemen zijn opgelost. Tilburg University ervaart geen problemen.

Foto: Wikimedia Commons

Foto: Wikimedia Commons

Onder meer Hogeschool Inholland, Fontys Hogescholen, de Universiteit Leiden en de Vrije Universiteit (VU) sloten om veiligheidsredenen vrijdag de toegang tot het eigen netwerk af voor gebruikers op afstand. Dit betekent dat studenten en medewerkers niet meer vanuit huis op het netwerk van hun instelling konden inloggen. Bij de Universiteit Leiden was alleen de webmail nog vanuit huis te bereiken. Volgens de VU gaat het om een “beperkte groep gebruikers.” In totaal heeft de universiteit tweehonderd Citrix-licenties.

Tilburg University ervaart geen problemen met de software. Corno Vromans, directeur Library en IT Services, laat aan Univers weten dat Citrix daar vorig jaar is uitgefaseerd.

Maatregelen waren preventief

Bij Hogeschool Inholland zijn systemen als Office 365, Moodle en de webmail inmiddels weer in de lucht. De overige ict-systemen volgen later op de dag. Wel zijn in verband met de technische perikelen van dit weekend alle tentamens maandag afgelast. “Deze zullen op een later moment worden ingehaald”, laat een woordvoerder weten. De tentamens van morgen gaan wel gewoon door en er komt een extra herkansingsmogelijkheid.

“De maatregel van dit weekend was vooral preventief”, benadrukt de woordvoerder. “Er is geen indicatie dat hackers onze systemen zijn binnengedrongen. Maar uiteraard houden we nauw contact met Citrix.”

Beveiligingslek maakt gijzelsoftware mogelijk

Met de software van het Amerikaanse bedrijf Citrix kunnen medewerkers en studenten thuis inloggen op het netwerk van hun universiteit of hogeschool. Ook veel andere instanties, zoals de Tweede kamer, Luchthaven Schiphol en talloze Nederlandse gemeenten, maken er gebruik van.

Het beveiligingslek is sinds half december bekend, maar het Nationaal Cyber Security Centrum waarschuwde organisaties pas vrijdag om hun Citrix-servers uit te schakelen. Het gaat om een preventieve maatregel. Via het beveiligingslek zouden kwaadwillenden op afstand een netwerk kunnen binnendringen en overnemen. Hierdoor zouden organisaties slachtoffer kunnen worden van datalekken of gijzelsoftware, zoals onlangs de Universiteit Maastricht overkwam.

Citrix komt met vijf updates

Het precieze aantal onderwijsinstellingen dat nu kampt met het beveiligingslek is onbekend. Ook ict-samenwerkingsorganisatie SURF kan geen overzicht leveren of inschatten wanneer de problemen zijn opgelost. “Het is eerst wachten tot alle patches beschikbaar zijn”, laat een woordvoerder weten. Een patch is een software-wijziging bedoeld om een bug te verhelpen of een programma te verbeteren.

Citrix werkt aan een oplossing voor het probleem en komt maandag met de eerste van in totaal vijf updates, een voor elke Citrix-versie. De laatste patch verschijnt op 31 januari.

Betekent dit dat sommige onderwijsinstellingen tot het einde van de maand hun thuiswerksystemen moeten afsluiten? “Dat is dus mede afhankelijk van de versie van Citrix waar instellingen gebruik van maken”, zegt de SURF-woordvoerder. “Als voor hun versie de patch nu al beschikbaar is, kan ik me voorstellen dat ze ruim voor het einde van de maand weer up-and-running zijn. Als ze op een versie zitten waarvoor nog geen patch is, zal het meer tijd kosten.”

Amsterdam was een van de gemeenten die kampte met netwerk-problemen. Er zijn dit weekend extra beveiligingsmaatregelen getroffen waardoor ambtenaren sinds zeven uur vanochtend weer gebruik kunnen maken van Citrix. Dat meldt AT5.

HOP, Evelien Flink

Bekijk meer recent nieuws

Schrijf je in voor onze nieuwsbrief

Blijf op de hoogte. Meld je aan voor de nieuwsbrief van Univers.