Er is een nieuw beveiligingslek opgedoken dat een groot gevaar vormt voor veel organisaties. De positieve kant van het verhaal: er is een oplossing voorhanden. Aan de andere kant weten veel organisaties niet eens dát zij gevaar lopen.
Het beveiligingslek in kwestie draait om software genaamd ‘Apache Log4j’. Het is onderdeel van een veelgebruikt programma waarmee organisaties kunnen bijhouden wat er op hun webservers gebeurt. De ICT’ers van die organisaties kunnen in dit logboek onder meer terugvinden waar en wanneer in de systemen foutmeldingen worden gegeven. Dat het programma ‘veelgebruikt’ is, is nog een understatement: volgens het Nationaal Cyber Security Centrum (NCSC) maken alleen in Nederland al honderdduizenden grote en kleine organisaties gebruik van Apache Log4j in hun systemen. De Vereniging Nederlandse Gemeenten (VNG) wist hierop nog te melden dat dit voor zo goed als alle gemeenten in Nederland geldt.
Een tweede probleem is dat cybercriminelen met behulp van de kwetsbaarheid rechtstreeks in de systemen van organisaties kunnen binnendringen (tools). Slinkse trucs waarbij zij gebruik moeten maken van de mens als zwakste schakel, zijn dus niet nodig. Een organisatie gijzelen met ransomware (tool) wordt zo erg makkelijk. Het goede nieuws is dat fabrikant Apache inmiddels een update heeft uitgebracht waarmee het beveiligingslek wordt gedicht. Volgens het NCSC moeten de webbeheerders van organisaties wel in actie komen door leveranciers te vragen of zij gebruikmaken van Log4j, en zo ja, door zo snel mogelijk de update te installeren.