Minister Grapperhaus stuurde op 20 maart 2020 de reactie van het kabinet op het rapport ‘Voorbereiden op digitale ontwrichting’ van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) naar de Tweede Kamer. Daarin gaat hij ook in op de geleerde lessen van de Citrix-problematiek.
Uiteindelijk bleek de impact van de Citrix-problematiek voor verreweg de meeste organisaties beperkt, dat is een belangrijke constatering in de evaluatie. Toch kunnen de lessen daaruit helpen beter voor te bereiden op digitale ontwrichting. Daarom zijn die lessen meegenomen in de Kabinetsreactie op het WRR-rapport Voorbereiden op digitale ontwrichting.
Leren van ervaring
Ook uit wat goed ging, zijn lessen te trekken. Uit de evaluatie kwam naar voren dat de medeoverheden trots waren op de snelheid van communiceren, de manier van informatiedeling en de interne besluitvorming. De contacten tussen medeoverheden en de computercrisisteams (‘Certs’) verliepen goed en er was onderling vertrouwen. Sommige lessen vragen om maatregelen. Een belangrijke les was dat er nog geen centraal informatieknooppunt en computercrisisteam voor provincies zijn Dit jaar wordt daarom gestart met de opzet van een provinciaal informatieknooppunt. En wat het voor sommige organisaties lastig maakte is dat het incident ook een politieke lading kreeg. Daardoor raakten bestuurlijke aspecten verweven met meer operationele informatie en acties.
Oefenen
Overheidsorganisaties gaven daarbij aan vaker te willen oefenen met cyberincidenten, om daarvan te kunnen leren. Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) en de Vereniging Nederlandse Gemeenten (VNG) werken aan cyberoefenpakketten. Ook staat er dit najaar weer een Overheidsbrede Cyberoefening gepland.
Bij gemeenten
In een interview met Nausikaä Efstratiades, hoofd van de Informatie Beveiligingsdienst (IBD) in iBestuur Magazine vertelt zij over de ervaringen van gemeenten. “We hebben geleerd dat het uitvallen van het systeem gevolgen heeft tot ver in de keten. Zo zijn ook gemeenten geraakt die zelf niet met Citrix werken, maar hun leveranciers wel. Het besef van afhankelijkheid is gegroeid. Anders gezegd: je kunt op allerlei manieren slachtoffer worden van een inbraak of hack, ook als je zelf alles op orde hebt.”