Wat kunnen we leren van de Log4j2-kwetsbaarheid?

Rond het weekend van 11 december 2021 werd de wereld opgeschrikt door een kwetsbaarheid in de Apache Log4j2-software. Hoewel de schade tot op heden lijkt mee te vallen, is er geen enkele security-expert die hardop durft te bevestigen dat de dreiging voorbij is. Als leverancier van Obsurv, dg DIALOG BGT en GeoWeb moest Sweco ook alle zeilen bijzetten om de dreiging te analyseren en zo snel mogelijk met oplossingen te komen. Het was een kritische test voor onze communicatie- en veiligheidsprotocollen. Voorlopige conclusie: er is goed gereageerd en gehandeld. Maar de vraag is ook: hoe zorgen we ervoor dat we nóg beter voorbereid zijn op dit soort voorvallen? Ofwel, wat kunnen we leren van de Log4j2-kwetsbaarheid? Een korte terugblik. En een blik vooruit.

Hoe het begon…

Op zaterdagavond 11 december 2021 stuurde het Nationaal Cyber Security Centrum voor het eerst een waarschuwing uit dat er een lek zat in Apache Log4j2-software. Dit is software die wereldwijd door bijna alle bedrijven wordt gebruikt voor het bijhouden van digitale logboeken. Omdat de Apache-software in de meest uiteenlopende andere softwarepakketten wordt gebruikt, was het voor veel bedrijven en organisaties lastig het probleem in één keer te overzien. Ook Sweco moest snel inventariseren of en waar Log4j2 een rol speelde en welke oplossingen het veiligst zouden zijn. Voor de verschillende pakketten waren de implicaties en risico’s verschillend en zijn er aangepaste maatregelen genomen.

Wat we hebben gedaan…

Voor dg DIALOG BGT en MOVE3 was vrij snel duidelijk dat Apache Log4j2 niet in de software zelf wordt gebruikt, maar wel binnen het serverdeel van het BGT-berichtenverkeer. Gebruikers kregen advies het berichtenverkeer uit te zetten. Vanaf 16 december 2021 hadden wij een patch gereed. Deze konden wij een voor een, door middel van korte remote sessies met onze gebruikers van het BGT-berichtenverkeer, installeren. Een aantal klanten koos ervoor om met behulp van een korte instructie de installatie zelf te doen. Al bij al toonde het issue opnieuw aan hoe belangrijk het is om te controleren dat er in de organisatie inderdaad strikte firewall rules zijn en dat HTTPS wordt gebruikt.

Wat ons (misschien) nog te wachten staat…

Voorlopig blijft het risico bestaan dat organisaties slachtoffer zullen worden van aanvallen met gijzelsoftware en datadiefstal. Ook al zijn er tot op heden weinig meldingen van organisaties die gehackt zijn als direct gevolg van de Log4j2-kwetsbaarheid. De kwetsbaarheid bestaat al meerdere jaren en bleef kennelijk onopgemerkt. Door de bekendmaking kunnen softwaremakers en organisaties maatregelen nemen. Maar de keerzijde hiervan is dat cybercriminelen nu ook beter weten naar welke kwetsbaarheden ze moeten zoeken. En zeker zolang er nog toepassingen zijn waarin Log4j2 zonder te weten is toegepast, is het wachten op de eerste slachtoffers . Verschillende security-organisaties bevestigen dat er de laatste tijd opvallend veel pogingen tot aanvallen zijn uitgevoerd.

Voor Sweco is het duidelijk dat we de hoogste staat van paraatheid moeten blijven bewaren. Bij veel van onze gebruikers zien we intussen ook een sterk verhoogde aandacht voor security. Dit zien wij als een positieve ontwikkeling waarin we graag meedenken.

Wat er goed ging, en wat we willen verbeteren…

Nu de eerste hectiek van de Log4j2-kwetsbaarheid achter ons ligt, hebben we onze aanpak geëvalueerd. En ook de komende tijd zullen wij hier regelmatig aandacht aan besteden. Het is onmogelijk om alle bevindingen te delen, maar een aantal willen we kort benoemen.

  • We zien dat de door ons gekozen maatregelen goed hebben gewerkt. Er was begrip, en vaak ook positieve feedback, voor de ingrijpende beslissing om de systemen tijdelijk uit de lucht te halen. Hetzelfde gold voor ons dringende advies aan klanten die zelf de hosting verzorgen, om de software tijdelijk offline te halen.
  • Ook was er waardering voor de integrale benadering richting onze klanten vanuit onze verschillende softwareproducten (Obsurv, GeoWeb, dg DIALOG BGT en MOVE3).
  • De veelal persoonlijke benadering zorgde er in de meeste gevallen voor dat klanten snel wisten waar ze aan toe waren en wat de vervolgstappen waren.
  • Wat we ook hebben vastgesteld is dat – mede door die persoonlijke benadering – een groot deel van de werkdruk op een relatief klein aantal collega’s terechtkwam. Met een nieuw op te stellen protocol willen we deze verantwoordelijkheden beter verdelen voor toekomstige crisissituaties.
  • We zullen aandacht besteden aan het verbeteren van onze opschalingsprocedures, ook voor buiten kantooruren. Hiermee kunnen we ervoor zorgen dat zwaarwegende beslissingen, zoals het uitschakelen van services, door meerdere senior medewerkers in overleg kunnen worden beoordeeld.
  • Op technisch vlak zien we onder meer de behoefte aan een betere en uitgebreidere inventarisatie van de afhankelijkheden tussen onze software en andere, externe toepassingen en de elementen waaruit deze zijn opgebouwd.
  • Verder onderzoeken wij op welke manieren, bijvoorbeeld door het inschakelen van externe partijen, wij nog sneller dreigingen en hun potentiële risico’s kunnen signaleren.

We houden je op de hoogte

Ook de komende tijd houden we jullie uiteraard op de hoogte van eventuele nieuwe ontwikkelingen. Bezoek regelmatig deze website, volg ons via onze LinkedIn-pagina en geef je op voor onze nieuwsbrief. En als je nog vragen of suggesties hebt, geef ze zeker aan ons door. Je kunt contact opnemen met een van onze adviseurs.