In de wereld van de IT wordt er erg vaak gebruik gemaakt van “standaard” software. Dit zijn zowel bekende (Microsoft Windows Server) als onbekende (Log4j) programma’s om te ondersteunen in een bepaald programma, proces of cloudoplossing. Het kan dus zijn dat jouw CRM draait op een Windows Server, je mail op een Unix server of gemaakt is met een Java Applet. De onderliggende afhankelijkheden en benodigdheden zijn enorm en eigenlijk altijd “in beheer” door de systeembeheerder of leverancier van de software.

Tot zover, ik denk best logisch. Misschien nog ter vergelijking; De autobouwer maakt auto’s, maar zeker niet ieder component. Banden worden gewoon ingekocht en (Fiat heeft geen eigen banden) nooit zelf gemaakt of ontworpen. Dit is in de software eigenlijk niet anders.

Nu is er een groot probleem met Log4j. Dit is logboek software die wordt gebruikt voor Java en actief is van Enterprise tot huis-tuin-en-keuken-oplossingen. Dit lek kan, middels een erg simpele query, snel en makkelijk worden gebruikt om naar “naar binnen wandelen”.

Het gevaar is dus;

• Actief gebruikte software, in combinatie met
• een brede aanwezigheid via het internet, gecombineerd met
• simpele wijze van misbruik, wat samen kan resulteren in
• Enterprise toegang bij providers, overheden en IT dienstverleners.

Exact die combinatie maakt dat dit probleem een gradatie 10/10 krijgt. Nog een cijfer; 0,39 van alle problemen heeft dit risico ooit gedragen.

Wij zijn daarom actief zaken aan het beveiligen, updaten of soms zelfs uitschakelen om data en platformen te beschermen. Uiteraard vinden we dit niet leuk, maar we hebben helaas geen keuze. Het is kiezen tussen kwaden, een mindere dienstverlening of een onveilig product.

Bron DTC: https://lnkd.in/dznUCxUh
Bron NCSC: https://lnkd.in/dNGuDybu