UU-studenten gedupeerd door beveiligingslek Citrix: leren voor tentamens bemoeilijkt

Op aanraden van het Nationaal Cyber Security Centrum (NCSC) werd vrijdag de toegang tot UU-applicaties vanuit het buitenland stilgelegd; zaterdagochtend vervolgens voor al het verkeer buiten de campus.

Medewerkers en studenten kunnen nu enkel nog op de campus, op vaste pc’s of op laptops verbonden met eduroam, gebruik maken van MyWorkplace (voor het gebruik van onder andere SPSS, Mathematica en Matlab) en RemoteApps (voor het gebruik van bijvoorbeeld Vetware). Overige systemen zoals Blackboard, Osiris, Office 365 en e-mail blijven wél van afstand beschikbaar.

Voor studenten komt dat, midden in de tentamenperiode, ongelukkig uit. Zo waren vandaag drie tentamens gepland waarvoor studenten afgelopen weekend niet thuis konden oefenen. Het ging om een tentamen van economie en twee van de faculteit Sociale Wetenschappen, waarbij de studenten het statistiekprogramma SPSS nodig hadden. Dit programma is vanwege de licentie via Citrix te gebruiken.

Charlotte Rietbergen, universitair docent Sociale Wetenschappen, vertelt dat haar studenten wel even in de stress zaten over hun tentamen van vanmorgen. “Vrijdag wisten studenten niet direct waar ze aan toe waren. Toen eenmaal duidelijk was dat ze in het weekend niet vanuit huis konden leren voor hun tentamen, hebben we ze de keuze gegeven om maandag het tentamen te maken, of het te doen op 5 februari.”

De studenten kregen ook een link toegestuurd waarmee ze via Surfspot voor 10 euro zelf SPSS konden aanschaffen om buiten Citrix om te kunnen oefenen. “Dat heb ik dus maar gedaan”, vertelt Zara, student Algemene Sociale Wetenschappen, voor het tentamenlokaal. “Ik wil niet pas op 5 februari dat tentamen maken.” Zij is één van de grofweg zestig studenten van Rietbergen die vandaag de toets heeft gemaakt. De meeste studenten (zo'n 180) kozen ervoor het tentamen later te maken.

Als docent heeft Rietbergen zelf ‘minimaal last’ van het afsluiten van de Citrix-servers. “Ik gebruik niet dagelijks de programma’s in MyWorkplace. Het is alleen onhandig als ik vanuit huis vragen van studenten wil beantwoorden over bijvoorbeeld SPSS.”

Of er voor andere toetsen ook maatwerkafspraken gemaakt moeten worden, wordt nog uitgezocht. “Naarmate toetsen verder weg liggen, kunnen studenten zich er natuurlijk beter op instellen en gebruik maken van de verbinding op de campus”, vertelt UU-woordvoerder Maarten Post.

Grote kwetsbaarheid
Post hoopt dat Citrix weer draait voor het einde van de maand. De gemeenten Amsterdam en Rotterdam hebben vandaag hun Citrix-server weer aangezet, meldt NU.nl, na de beveiligingsupdate (‘patch’) die Citrix gisteren uitrolde. Die update moet ‘een grote kwetsbaarheid’ voor de meestgebruikte versies van het systeem dichten. Ook meldt NU.nl dat deze update alleen helpt als er niet al is ingebroken op het systeem. Volgens het NCSC kunnen bedrijven die pas na 9 januari stappen hebben ondernomen om hun systemen te beschermen, ervan uitgaan dat er is ingebroken. Voor zover bekend is bij Post, is de UU niet gehackt.

Hogeschool InHolland heeft wel alle tentamens van vandaag afgelast vanwege de technische perikelen. Een woordvoerder laat weten dat deze op een later moment worden ingehaald. De tentamens van morgen gaan wel gewoon door en er komt een extra herkansingsmogelijkheid.

Naast de UU en Hogeschool Inholland sloten ook Fontys Hogescholen, de Universiteit Leiden en de Vrije Universiteit (VU) om veiligheidsredenen vrijdag de toegang tot het eigen netwerk af voor gebruikers op afstand. Bij de Universiteit Leiden was alleen de webmail nog vanuit huis te bereiken. Volgens de VU gaat het om een “beperkte groep gebruikers”; in totaal heeft de universiteit tweehonderd Citrix-licenties.

Bij Hogeschool Inholland zijn systemen als Office 365, Moodle en de webmail inmiddels weer in de lucht. De overige ict-systemen volgen later op de dag. “De maatregel van dit weekend was vooral preventief”, benadrukt de woordvoerder. “Er is geen indicatie dat hackers onze systemen zijn binnengedrongen. Maar uiteraard houden we nauw contact met Citrix.”

Extra druk
Met de software van het Amerikaanse bedrijf Citrix kunnen medewerkers en studenten thuis inloggen op het netwerk van hun universiteit of hogeschool. Ook veel andere instanties, zoals de Tweede kamer, Luchthaven Schiphol en talloze Nederlandse gemeenten, maken er gebruik van.

Het beveiligingslek is sinds half december bekend, maar het Nationaal Cyber Security Centrum waarschuwde organisaties pas vrijdag om hun Citrix-servers uit te schakelen. Het gaat om een preventieve maatregel. Via het beveiligingslek zouden kwaadwillenden op afstand een netwerk kunnen binnendringen en overnemen. Hierdoor zouden organisaties slachtoffer kunnen worden van datalekken of gijzelsoftware, zoals onlangs de Universiteit Maastricht overkwam. Of de zogenaamde 'ransomware' in Maastricht te maken had met Citrix, is niet bekend.

Patch
Het precieze aantal onderwijsinstellingen dat nu kampt met het beveiligingslek is onbekend. Ook ict-samenwerkingsorganisatie Surf kan geen overzicht leveren of inschatten wanneer de problemen zijn opgelost. “Het is eerst wachten tot alle patches beschikbaar zijn”, laat een woordvoerder weten. Een patch is een software-wijziging bedoeld om een bug te verhelpen of een programma te verbeteren.

Citrix werkt aan een oplossing voor het probleem en komt maandag met de eerste van in totaal vijf updates, een voor elke Citrix-versie. De laatste patch verschijnt op 31 januari. De versie van de patch die voor de UU van belang is, 12.1, is waarschijnlijk 24 januari beschikbaar, aldus Post.

Betekent dit dat sommige onderwijsinstellingen tot het einde van de maand hun thuiswerksystemen moeten afsluiten? “Dat is dus mede afhankelijk van de versie van Citrix waar instellingen gebruik van maken”, zegt de Surf-woordvoerder. “Als voor hun versie de patch nu al beschikbaar is, kan ik me voorstellen dat ze ruim voor het einde van de maand weer up-and-running zijn. Als ze op een versie zitten waarvoor nog geen patch is, zal het meer tijd kosten.”