Apache Log4j – Wat moet het onderwijs hiermee?

Vorige week werd het bericht gedeeld dat er kwetsbaarheden zijn gevonden in Apache Log4j. Moet het onderwijs zich zorgen maken over deze meldingen? En wat kun je doen om te voorkomen dat je nadeel ondervindt van dit soort kwetsbaarheden? In dit artikel praten we je - hopelijk in leesbare taal - bij.

En nu even duidelijk: waar hebben we het over?

Apache Log4j is een stukje software dat zorgt voor het vastleggen van meldingen in applicaties en programma’s, het zogenaamde loggen. De kwetsbaarheid die ontdekt is zorgt ervoor dat wie dat wil via Log4j toegang kan krijgen tot systemen en applicaties. Oeps.  

Het is een bouwsteentje dat veel gebruikt wordt door grote leveranciers. Toch wordt het op dit moment bijgehouden door 6 vrijwilligers. Is dat kwetsbaar? Volgens de experts van de Nederlandse overheid wel, aldus dit artikel in NRC van 15 december 2021. Laten we het zo stellen: er ligt wel een enorme uitdaging voor softwareleveranciers om te checken of ze ‘veilig zitten’ of dingen moeten herstellen. 

“Het is een bouwsteentje dat veel gebruikt wordt door grote leveranciers. Toch wordt het op dit moment bijgehouden door 6 vrijwilligers.”

 

Waarom is dit een probleem?

Door het achterdeurtje in Log4j dat openstond was er in principe vrije maar ongeoorloofde toegang tot gegevens die applicaties op servers bewaarden. Toegang betekent dat onbevoegde personen bestanden kunnen lezen, schrijven, kopiëren etc. 

Als het gaat om vertrouwelijke bestanden of financiële gegevens is dit funest voor organisaties. Als het gaat om bestanden waar persoonsgegevens in staan, dan ontstaat ook een risico met betrekking tot de AVG. Daarom zit de schrik er meer dan in bij leveranciers. De basisprincipes van correcte informatiebeveiliging en privacy liggen onder vuur. 

Ook in het onderwijs?

Ja, ook in het onderwijs maken we gebruik van software en zijn er ongetwijfeld applicaties die gebruik maken van Log4j. Maar wat kun je hier als bestuur aan doen? Allereerst is het goed om sommige dingen sectorbreed op te pakken. Als FLEXfg wijzen we regelmatig op het nut van gecoördineerde aanpak van zaken die de hele sector aangaan. Kennisnet neemt in het geval van Log4j de regie, wat erg prettig is. Via deze site worden schoolbesturen op de hoogte gehouden, deze wordt regelmatig geupdate.

“Als FLEXfg wijzen we regelmatig op gecoördineerde aanpak van zaken die de hele sector aangaan. Kennisnet neemt in het geval van Log4j de regie, wat erg prettig is.”

Ook legt Kennisnet een lijst aan met leveranciers waarvan zij meldingen hebben gekregen of die zichzelf hebben gemeld. Deze lijst wordt ook constant geupdate. Het loont ook om lid te worden van het Netwerk IBP, via dit netwerk worden updates snel gedeeld.

Wat moet ik concreet gaan doen?

Hou berichten van je leveranciers in de gaten. Zij zijn vanuit verwerkersovereenkomsten verplicht je proactief te informeren over mogelijke risico’s. Heb jezelf een vermoeden? Neem dan contact met ze op. Vraag ze vooral welke stappen ze zetten of gezet hebben en om welke risico’s het exact gaat.

“Vraag leveranciers vooral welke stappen ze zetten of gezet hebben. Vraag ook om welke risico’s het exact gaat. De beslissing om een mogelijk datalek te melden ligt bij een schoolbestuur, niet bij de leverancier. Haal vooral voldoende informatie op om risico’s af te wegen en overleg met je functionaris gegevensbescherming.”

De beslissing om een mogelijk datalek te melden ligt bij een schoolbestuur, niet bij de leverancier. Haal dus voldoende informatie op om risico’s af te wegen en overleg met je functionaris gegevensbescherming. 

 

En als ik er niet uitkom?

Hopelijk heb je iets meer inzicht gekregen in waar het over gaat en hoe je op de hoogte blijft van de laatste informatie. Komt je er toch niet uit? Dan bel je met ons! 

FLEXfg ondersteunt schoolbesturen bij een verantwoord beleid voor Informatiebeveiliging en privacy. Wij staan voor je klaar.

FLEXfg begrijpt de uitdagingen van scholen om de juiste stappen te zetten. Daarom bieden we onderwijsbesturen onderstaand aanbod voor ondersteuning in het traject aan. Meer informatie nodig?  Neem dan contact op via het contactformulier, info@flexfg.nl of 0512-202030.

Dienstverlening

Wij helpen schoolbesturen met technische en organisatorische diensten om toe te werken naar een solide informatiebeveiliging en privacy. Van nulmetingen, penetratietesten tot consultancy en beleidsbepaling. 

Neem contact op via het contactformulier, info@flexfg.nl of 0512-202030.

Professionalisering

De mens is een belangrijke schakel binnen het onderwerp IBP. En een gewaarschuwd mens telt voor twee. Van awareness op de werkvloer tot opleidingstrajecten, wij verzorgen het met hart voor onderwijs.

Neem contact op via het contactformulier, info@flexfg.nl of 0512-202030.

Over de auteur

Ferenc Jacobs

Ferenc is mede-eigenaar van FLEXfg en functionaris gegevensbescherming bij meerdere schoolbesturen.

Related Posts

Persoonsgegevens zijn het goud van een school

Persoonsgegevens zijn het goud van een school

Het meest interessante doelwit voor criminelen zijn niet de iPads, laptops of andere apparatuur in een school. Persoonsgegevens is het goud waar écht veel aan te verdienen valt. In dit artikel gaan we in op de noodzaak om Informatiebeveiliging en Privacy goed voor elkaar te hebben in het onderwijs.

Google & het onderwijs – wat nu?

Google & het onderwijs – wat nu?

Het was nog even spannend, maar er zijn afspraken gemaakt tussen Google en het onderwijs over de risico’s van het gebruik van Google Workspace op scholen. Fijn! Maar hiermee is het onderwijs er nog niet. Besturen moeten zelf een aantal stappen zetten om aan hún kant te zorgen voor een veilige werkwijze. In dit artikel gaan we hier dieper op in.

4 AVG-punten om te regelen vóór de vakantie

4 AVG-punten om te regelen vóór de vakantie

De zomervakantie breekt alweer bijna aan! Na wéér een ongewoon jaar zijn collega’s en leerlingen toe aan een heerlijke pauze. Net als ieder jaar zijn er een aantal AVG-punten waar je op kunt letten als school om ook écht zorgeloos de deur op slot te kunnen doen. Hieronder zetten we een aantal tips uit de praktijk op een rijtje.

Schrijf je in voor de nieuwsbrief

Comments

0 reacties

Adresgegevens

0512 202 030

info@flexfg.nl

Lavendelheide 12, 9202 PD Drachten

Neem contact op

10 + 15 =