Het bericht ‘Exclusief: Interview Citrix CISO, Fermín Sera, waar ging het mis?'

2020Z01740

(ingezonden 31 januari 2020)

Vragen van de leden Van Dam, Van den Berg en Van der Molen (allen CDA) aan de minister van Justitie en Veiligheid over het bericht ‘Exclusief: Interview Citrix CISO, Fermín Sera, waar ging het mis?'.

1. Heeft u kennisgenomen van het bericht op Techzine.be van 27 januari 2020 ‘Exclusief: Interview Citrix CISO, Fermín Sera, waar ging het mis?’? 1)


2. Klopt het dat er op 17 december 2019 een tijdelijke oplossing van het beveiligingslek beschikbaar werd gesteld door Citrix en dat met deze oplossing, mits goed doorgevoerd, gebruikers van Citrix beschermd waren geweest tegen het beveiligingslek?


3. Indien het klopt wat de CISO van Citrix beschrijft ten aanzien van de tijdelijke oplossing, waarom is deze oplossing dan niet doorgevoerd bij de overheidsdiensten die gebruik maken van Citrix?


4. Is er sprake geweest van overheidsdiensten of semipublieke organisaties die de tijdelijke patch die op 17 december 2019 werd gepubliceerd door Citrix onjuist hebben doorgevoerd? Doet u daar onderzoek naar?


5. Kunt u lering trekken uit de wijze waarop andere landen om zijn gegaan met dit beveiligingslek? Kunt u verklaren waarom met name in Nederland dit beveiligingslek tot grote problemen heeft geleid?


6. Hoe beoordeelt u de ongeschreven regel in de industrie die zegt dat er binnen 90 dagen nadat een beveiligingslek wordt gemeld, deze niet publiekelijk wordt gemaakt, zodat een bedrijf het lek kan dichten? Acht u het wenselijk dat een dergelijke periode formeel wordt vastgelegd, al dan niet op Europees niveau?


1) Techzine, 27 januari 2020, https://www.techzine.be/blogs/security/52120/exclusief-interview-citrix-ciso-fermin-serna-waar-ging-het-mis/