2020Z01740
(ingezonden 31 januari 2020)
Vragen van de leden Van Dam, Van den Berg en Van der Molen (allen CDA) aan
de minister van Justitie en Veiligheid over het bericht ‘Exclusief:
Interview Citrix CISO, Fermín Sera, waar ging het mis?'.
1. Heeft u kennisgenomen van het bericht op Techzine.be van 27 januari 2020
‘Exclusief: Interview Citrix CISO, Fermín Sera, waar ging het mis?’? 1)
2. Klopt het dat er op 17 december 2019 een tijdelijke oplossing van het
beveiligingslek beschikbaar werd gesteld door Citrix en dat met deze
oplossing, mits goed doorgevoerd, gebruikers van Citrix beschermd waren
geweest tegen het beveiligingslek?
3. Indien het klopt wat de CISO van Citrix beschrijft ten aanzien van de
tijdelijke oplossing, waarom is deze oplossing dan niet doorgevoerd bij de
overheidsdiensten die gebruik maken van Citrix?
4. Is er sprake geweest van overheidsdiensten of semipublieke organisaties
die de tijdelijke patch die op 17 december 2019 werd gepubliceerd door
Citrix onjuist hebben doorgevoerd? Doet u daar onderzoek naar?
5. Kunt u lering trekken uit de wijze waarop andere landen om zijn gegaan
met dit beveiligingslek? Kunt u verklaren waarom met name in Nederland dit
beveiligingslek tot grote problemen heeft geleid?
6. Hoe beoordeelt u de ongeschreven regel in de industrie die zegt dat er
binnen 90 dagen nadat een beveiligingslek wordt gemeld, deze niet
publiekelijk wordt gemaakt, zodat een bedrijf het lek kan dichten? Acht u
het wenselijk dat een dergelijke periode formeel wordt vastgelegd, al dan
niet op Europees niveau?
1) Techzine, 27 januari 2020,
https://www.techzine.be/blogs/security/52120/exclusief-interview-citrix-ciso-fermin-serna-waar-ging-het-mis/