Het besluit van de Kamer van Koophandel (KVK) tijdelijk de website uit de lucht te halen uit vrees voor kwetsbaarheden in de softwaretool Log4j is niet onomstreden. Prof. Arie van Deursen, hoogleraar software engineering aan de TU Delft, vindt dit wel een hele vergaande beslissing.
Uit voorzorg was de website van afgelopen vrijdagavond tot maandagochtend vroeg niet beschikbaar. Ook andere applicaties zoals de aansluitingen op onder meer KVK, API en KvK Dataservice waren uitgezet.
De KVK noemt dit belangrijk voor de bescherming van it-systemen, ook die van andere gebruikers van deze systemen.
Van Deursen zegt in een tweet te begrijpen dat het operationele team misschien moe is. Sinds de kwetsbaarheden in de Java-log-tool bekend werden, hebben veel it’ers nachtenlang doorgewerkt. Ook begrijpt de Delftse hoogleraar dat het management kan kiezen voor ‘better safe than sorry’. Maar volgens hem heeft dat in een goed draaiende it-omgeving geen zin. Ook voorspellingen dat tijdens de kerst aanvallen worden verwacht, mogen geen reden vormen. ‘Aanslagen zijn altijd mogelijk, ook na kerst.’
Evenmin valt het besluit te verdedigen door te stellen dat Log4j wordt geplaagd door nieuwe kwetsbaarheden. Van Deursen: ‘Dit slaat nergens op. De laatste patch (2.17) is van 17 december. Als een site in de lucht is, moet er iemand dienst hebben om beveiligingsproblemen op te lossen. De Delftse hoogleraar vraagt zich af of het ops-team een kerstvakantie nodig had.
Geen upgrade?
Het enige argument dat een beetje hout snijdt, is volgens Van Deursen dat gebruikers van de KVK-gegevens mogelijk nog geen upgrade van Log4j hebben gedaan. De KVK wijst erop een basisregistratie te beheren, met gegevens die moeten worden beschermd. Bovendien maakt de KVK onderdeel uit van verschillende ketens met andere partijen. Die kunnen niet altijd volledige zekerheid geven.
Van Deursen reageert: ‘Maar dan is heropening op maandag alleen veilig als die consumenten deze problemen die dag hebben opgelost. Maar hij vraagt zich af of dit wordt gecontroleerd en om welke consumenten het gaat. Van Deursen heeft de indruk dat dit niet de echte reden is.
Ook de komende tijd moeten bedrijven alert zijn op Log4j-aanvallen. Het Nationaal Cyber Security Centrum (NCSC) ziet voorlopig alleen op kleine schaal misbruik van het lek. Maar deze organisatie verwacht dat dit misbruik zal toenemen. Volgens computer- en netwerkbeveiliger Tenable is 10 procent van onderzochte servers, webapplicaties, containers en iot-apparaten kwetsbaar.
