Ernstig beveiligingslek in software: dringend updaten
Er is een ernstig beveiligingslek ontdekt in software dat door veel bedrijven wordt gebruikt in webapplicaties en andere systemen. Dit bericht ontving de KNB 14 december van VNO-NCW en MKB-Nederland. Het gaat om software met de naam ‘Apache Log4j’. De KNB adviseert haar leden dit bericht zeer serieus te nemen en hierover hun ICT-leveranciers – met name systeembeheerders en notariële softwareleveranciers – om nadere informatie te vragen.
Het risico is groot dat cybercriminelen misbruik gaan maken van het beveiligingslek, met mogelijk grote schade bij bedrijven tot gevolg. Het Nationaal Cybersecurity Centrum (NCSC) adviseert alle bedrijven de beschikbaar gestelde updates zo snel mogelijk te installeren. Meer informatie en advies is te vinden op deze website. Het NCSC raadt de bedrijven tevens aan om de website van het Digital Trust Center of het Nationaal Cybersecurity Centrum in de gaten te houden. Op deze websites wordt geregeld meer informatie gepubliceerd.
Onderzoek kwetsbaarheid
De KNB heeft samen met haar leveranciers op vrijdag 10 december al – direct na het bekend worden van deze kwetsbaarheid – een analyse uitgevoerd op de diensten op PEC. Hieruit is gebleken dat het merendeel van de applicaties een alternatief van Log4j gebruikt voor het verwerken van logging en dus niet gevoelig is voor deze kwetsbaarheid. Ook blijkt dat een aantal van de oudere applicaties gebruik maakt van een oudere versie van Log4j die alleen met specifieke configuratie vatbaar is voor deze kwetsbaarheid. Voor deze applicaties maken wij geen gebruik van deze configuratie. Daarom zijn de betreffende applicaties niet vatbaar voor deze kwetsbaarheid.
Niet publiek toegankelijk
Voor het beheer van PEC maakt onze leverancier gebruik van een aantal applicaties die wel kwetsbaar zijn. Deze applicaties zijn allemaal niet publiek toegankelijk, maar worden ontsloten via een besloten en beveiligde verbinding (cliënt vpn). De kwetsbaarheid is daarom gering. Waar dat mogelijk is, zal onze leverancier deze applicaties echter voor de zekerheid bijwerken en/of vervangen of een workaround toepassen.
Verder volgt de KNB de betreffende informatie van het NCSC op de voet.
Meer informatie: KNB, Leo Draaisma, l.draaisma@knb.nl, 070 3307108
Gerelateerde artikelen
De invoeringsperiode van de Gedragscode Informatiebeveiliging Notariaat is ten einde. Nu is het zaak de informatiebeveiliging van uw notariskantoor up-to-date te houden. Dat kan met de vernieuwde pagina informatiebeveiliging op knb.nl.
WeTransfer ligt onder vuur sinds het platform aankondigde vanaf 8 augustus bestanden van haar klanten te willen gebruiken voor het trainen van AI. Inmiddels heeft de online dienst om bestanden te versturen de voorwaarden over AI-gebruik verwijderd. Toch blijven er zorgen, want welke garanties zijn er voor de toekomst? De KNB raadt daarom af WeTransfer te gebruiken.
Gebruik geen gezamenlijke e-mailbox voor het ontvangen van belangrijke persoonlijke correspondentie van de KNB. Staat er bij u in Mijn KNB als voorkeur e-mailadres nog een mailbox waar ook anderen toegang tot hebben? Pas dit dan zo snel mogelijk aan. Zo draagt u bij aan de informatiebeveiliging van uw kantoor.