Op vrijdag 10 december 2021 kwam de Nederlandse security-waakhond met een alarmerende waarschuwing, die de ICT-wereld deed opschrikken: ‘Er is een ‘kwetsbaarheid’ geconstateerd in het alom gebruikte Apache Log4j. Cybermisbruik lijkt nog beperkt, maar rampen worden niet uitgesloten.’ Een digitale pandemie? We zijn een maand verder. Hoe staan we ervoor?
13 november 2021 | Blog
Apache Log4j: Hoe kwetsbaar zijn we nu?
Log4j is een minuscuul stukje software dat wereldwijd vrij beschikbaar is en al sinds 2012 in talloze applicaties wordt gebruikt. Juist déze code blijkt kwetsbaar en kan cybercriminelen toegang geven tot netwerken. ‘Dit stukje code wordt in biljoenen systemen en apparaten gebruikt, waarvan er ook veel op dit moment nog niet bekend zijn,’ zegt Rob Mak, Security & Compliance Director bij Venéco. ‘Netwerken, telefonie-, CRM- en toegangssystemen. Computers, laptops, telefoons, handscanners, boordcomputers, beveiligingscamera’s, deurbellen. Ja, zelfs de smart-tv in de directiekamer.’
Adequate procedures en acties
Zodra het Nationaal Cyber Security Centrum (NCSC) deze kwetsbaarheid bekendmaakte, zette Venéco alle procedures in werking. Een kernteam checkte de NCSC-lijst met Log4j-applicaties, de eigen producten en de klanten die er gebruik van maakten. Rob: ‘Onze eerste verantwoordelijkheid lag bij klanten met een beheercontract (Netcare Next, Netcare Extra of Securi-care). We zorgden dat hun apparaten en applicaties die via internet te benaderen waren met de hoogste prioriteit van buiten naar binnen werden dichtgezet. Vervolgens vroegen we de systeemleveranciers of er al een ‘patch’ was om te installeren, een stukje herstel-software. Tegelijkertijd informeerden we onze andere klanten over de situatie en boden we hulp aan.’ Zowel ICT- als telecom-klanten hadden het Log4j-probleem, met een klein verschil. Rob: ‘Voor telecom konden we de lijnen van buiten naar binnen natuurlijk niet dichtzetten. Daarentegen wisten we hier precies in welke hoek we moesten zoeken en konden we vaak dezelfde reparatie-patch plaatsen.’
Monitoren en alert blijven
Vooralsnog zijn er geen klanten met problemen vanwege Log4j. Maar het werk is nog niet gedaan. Soms is nog niet bekend waar Log4j allemaal is gebruikt in een organisatie en kan het dus ook nog niet gerepareerd worden. Dat vereist grote waakzaamheid. Rob: ‘Het is nu zaak alles scherp te blijven monitoren. Log4j is al zo’n tien jaar in gebruik. Je kunt niet uitsluiten dat cybercriminelen eerder wisten van dit ‘lek’ en hiervan al misbruik hébben gemaakt. We zullen dus nog lang heel erg alert moeten zijn op onrechtmatigheden.’
‘Lessons learned’: maak plannen
Het Log4j-lek lijkt voorlopig onder controle. De komende maanden zullen uitwijzen of we er wereldwijd met z’n allen op tijd bij waren. ‘Niemand zit op een digitale pandemie als deze te wachten, maar het zal niet de laatste zijn,’ besluit Rob. ‘Er is zóveel software in omloop. Maar deze gebeurtenissen onderstrepen wel waar wij steeds voor waarschuwen: zorg dat je ICT-securitybeleid op orde is. Niet alleen technisch en preventief, óók voor situaties dat je onverhoopt toch getroffen wordt. Maak plannen: welke risico’s loop je, welke maatregelen tref je, hoe beperk je de schade, enzovoorts? Met ons heb je alle kennis in huis om hierover mee te denken.’
Klaar voor de volgende digitale pandemie? We denken graag met je mee!
Klik hier om contact op te nemen
Contact