Security by design is dood. Lekke software is een businessmodel

DoorFleur van Leusden
Security by design is dood. Lekke software is een businessmodel cover

Het is december 2019. Pre-Corona. In de tijd dat thuiswerken nog een uitzondering was voor velen.
Ik werk als Security Manager/CISO bij een toezichthouder. Wij zijn één van de weinigen die ons eigen netwerk beheren. Trots zijn we. Op onze eigen IT afdeling met o.a. netwerkbeheerders, applicatiebeheerders en storage experts. Het is belangrijk voor ons dit beheer zelf te doen. Als zelfstandig bestuursorgaan willen we niet dat al onze data via de IT club van ons Ministerie loopt.

Onderdeel van het netwerk is Citrix Netscaler. We gebruiken het voor verschillende doeleinden, waaronder werken op afstand. Voor het werk op kantoor hebben we dan nog thin clients met een paslezer.

Maar nu is er een waarschuwing uitgebracht voor een kritieke kwetsbaarheid. Patchen dus, zou je denken. Maar helaas; er is nog geen patch beschikbaar. Het NCSC en de AIVD adviseren met klem het Citrix portaal direct offline te halen en te zoeken naar IOCs (indicatoren dat er misbruik is gemaakt). Ik spreek met mijn directeur. We besluiten het portaal online te laten, maar alleen nog toegang te verschaffen via allowlisting. We handelen snel en vinden gelukkig geen IOCs (geen garantie uiteraard). Kort hierna worden Citrix systemen wereldwijd massaal aangevallen en binnengedrongen.

Deze periode werd ook wel de ‘Citrix crisis’ genoemd. De Onderzoeksraad voor Veiligheid (een oud werkgever van mij) deed er zelfs een onderzoek naar.

Het is allang niet meer ‘iets met Citrix’

Fast forward naar 2025. Ik ben de tel inmiddels kwijt. Wie denkt dat er specifiek iets met Citrix aan de hand is, komt bedrogen uit. Zo kun je je lol op als je graag werkt met zo ongeveer alles wat fabrikant Fortinet op de markt zet. In de lijst met meest misbruikte kwetsbaarheden om ransomware te verspreiden in 2025 komt Fortinet maar liefst vier keer voor. Ter vergelijking; Citrix staat hier ‘maar’ één keer in.

In het lijstje fabrikanten met de meeste misbruikte kwetsbaarheden staan (op volgorde van meeste kwetsbaarheden naar minst): Microsoft, Apple, Cisco, Fortinet, Google Chromium, Ivanti, Linux Kernel, Citrix, D-link, Oracle en Sonic Wall.

Waarbij Microsoft de absolute top claimt, met maar liefst 39 misbruikte kwetsbaarheden. Even ter vergelijking, de nummer twee, Apple, had er negen in 2025.

Gelatenheid als standaardreactie

Ik blijf mij verbazen over hoe gelaten wij de zoveelste kwetsbaarheid over ons heen laten komen als experts. Ik merk het aan mijzelf ook. ‘NCSC waarschuwing’ zie ik op mijn werktelefoon. ‘Ernstige kwetsbaarheid in Citrix Netscaler met inschatting High/High’. Ik denk alleen maar: “Welke leverancier moet ik eerst gaan bellen?”

We betalen ons scheel aan licenties, support contracten, premium gold support bla bla bla. En waarvoor?

39 kwetsbaarheden misbruikt om ransomware te verspreiden in één jaar tijd voor Microsoft alleen. En als je denkt dat met de tijd het aantal kwetsbaarheden in software afneemt, omdat men beter wordt in het maken van veilige software en ‘security by design’ toepast… ik heb nieuws. In 2025 nam het aantal bij CISA geregistreerde kwetsbaarheden met 34% toe. Veel gebruikte software wordt dus steeds meer lek. Niet minder lek.

Ik schreef het al in mijn vorige column. De tijd die je hebt nadat een patch is uitgebracht om het te installeren, voordat er wereldwijd op grote schaal misbruik van gemaakt wordt is gegaan van 63 dagen in 2019 naar inmiddels -1. Ik herhaal. Naar -1 (!!!). Als de patch is uitgebracht, ben je dus tegenwoordig waarschijnlijk al gehackt.

De reflex: noodpatchen, en bezuinigen op wat wél helpt

Maar wij blijven maar nood-patches installeren. En lekke software kopen. En vervolgens bezuinigen op zaken als segmentatie en monitoring. Want “we hebben toch MFA?”. Of “we doen toch een jaarlijkse phishing training?”.

Er moet nu écht iets gaan gebeuren

Wat mij betreft is het tijd dat er een aantal dingen gaan gebeuren:

  • Bedrijven als Microsoft, Citrix en Fortinet moeten financiële gevolgen krijgen bij software die herhaaldelijk ernstig lek is. Ik weet dat we inmiddels Europese wetgeving hebben die hier iets over zegt. Maar ik zie hiervan het effect (nog) niet voldoende. Software is nog steeds op grote schaal lek.
  • Ga er vanuit dat software fundamenteel lek is. Bouw je netwerken met dit gegeven. Ga dus NIET bezuinigen op monitoring en segmentatie. Denk niet dat je wegkomt met je jaarlijkse phishing test en MFA. Als je spullen van Citrix, Fortinet, Microsoft en dergelijken gebruikt, ga er maar vanuit dat je vroeg of laat aan de beurt bent.
  • We moeten stoppen met het normaliseren van lekke software. Het is niet acceptabel dat als je dit soort belangrijke en veelgebruikte software bouwt, dat het continu lek blijkt.

En anders: groundhog day

Als er niks gebeurt, gaan we door als altijd. High/high waarschuwingen worden opgepakt, maatregelen genomen, systemen gepatcht. Daarna gaan we over tot de orde van de dag.

En de volgende waarschuwing komt vanzelf. En dan kan ik weer een meme maken met groundhog day.

Over Fleur

Fleur is een ervaren professional met meer dan 10 jaar ervaring in informatiebeveiliging. Ze is CISO bij de overheid en produceert een podcast voor CISOs, genaamd ‘CISO praat’. Haar passie ligt bij het vinden van oplossingen en het adviseren over strategische vraagstukken binnen informatiebeveiliging.

Met een focus op de technische en strategische aspecten, duikt Fleur graag de diepte in en onderzoekt oplossingen, zoals het veilig gebruik van openbare wifi-netwerken en effectieve bescherming tegen phishing. Ze is vooral geïnteresseerd in de balans tussen gebruiksgemak en beveiliging én de uitdagingen van specialistische kennis in een digitaliserende wereld.

In haar columns behandelt Fleur fundamentele uitdagingen voor informatiebeveiligers, zoals de effectiviteit van beveiligingsmaatregelen en het groeiende aanbod van beveiligingsdiensten. Ze hoopt haar lezers te inspireren tot nieuwe inzichten en innovatieve ideeën.

Vergelijkbare berichten