Vorige week werd het bericht gedeeld dat er kwetsbaarheden zijn gevonden in Apache Log4j. Moet het onderwijs zich zorgen maken over deze meldingen? En wat kun je doen om te voorkomen dat je nadeel ondervindt van dit soort kwetsbaarheden? In dit artikel praten we je – hopelijk in leesbare taal – bij.
En nu even duidelijk: waar hebben we het over?
Apache Log4j is een stukje software dat zorgt voor het vastleggen van meldingen in applicaties en programma’s, het zogenaamde loggen. De kwetsbaarheid die ontdekt is zorgt ervoor dat wie dat wil via Log4j toegang kan krijgen tot systemen en applicaties. Oeps.
Het is een bouwsteentje dat veel gebruikt wordt door grote leveranciers. Toch wordt het op dit moment bijgehouden door 6 vrijwilligers. Is dat kwetsbaar? Volgens de experts van de Nederlandse overheid wel, aldus dit artikel in NRC van 15 december 2021. Laten we het zo stellen: er ligt wel een enorme uitdaging voor softwareleveranciers om te checken of ze ‘veilig zitten’ of dingen moeten herstellen.
“Het is een bouwsteentje dat veel gebruikt wordt door grote leveranciers. Toch wordt het op dit moment bijgehouden door 6 vrijwilligers.”
Waarom is dit een probleem?
Door het achterdeurtje in Log4j dat openstond was er in principe vrije maar ongeoorloofde toegang tot gegevens die applicaties op servers bewaarden. Toegang betekent dat onbevoegde personen bestanden kunnen lezen, schrijven, kopiëren etc.
Als het gaat om vertrouwelijke bestanden of financiële gegevens is dit funest voor organisaties. Als het gaat om bestanden waar persoonsgegevens in staan, dan ontstaat ook een risico met betrekking tot de AVG. Daarom zit de schrik er meer dan in bij leveranciers. De basisprincipes van correcte informatiebeveiliging en privacy liggen onder vuur.
Ook in het onderwijs?
Ja, ook in het onderwijs maken we gebruik van software en zijn er ongetwijfeld applicaties die gebruik maken van Log4j. Maar wat kun je hier als bestuur aan doen? Allereerst is het goed om sommige dingen sectorbreed op te pakken. Als FLEXfg wijzen we regelmatig op het nut van gecoördineerde aanpak van zaken die de hele sector aangaan. Kennisnet neemt in het geval van Log4j de regie, wat erg prettig is. Via deze site worden schoolbesturen op de hoogte gehouden, deze wordt regelmatig geupdate.
“Als FLEXfg wijzen we regelmatig op gecoördineerde aanpak van zaken die de hele sector aangaan. Kennisnet neemt in het geval van Log4j de regie, wat erg prettig is.”
Ook legt Kennisnet een lijst aan met leveranciers waarvan zij meldingen hebben gekregen of die zichzelf hebben gemeld. Deze lijst wordt ook constant geupdate. Het loont ook om lid te worden van het Netwerk IBP, via dit netwerk worden updates snel gedeeld.
Wat moet ik concreet gaan doen?
Hou berichten van je leveranciers in de gaten. Zij zijn vanuit verwerkersovereenkomsten verplicht je proactief te informeren over mogelijke risico’s. Heb jezelf een vermoeden? Neem dan contact met ze op. Vraag ze vooral welke stappen ze zetten of gezet hebben en om welke risico’s het exact gaat.
“Vraag leveranciers vooral welke stappen ze zetten of gezet hebben. Vraag ook om welke risico’s het exact gaat. De beslissing om een mogelijk datalek te melden ligt bij een schoolbestuur, niet bij de leverancier. Haal vooral voldoende informatie op om risico’s af te wegen en overleg met je functionaris gegevensbescherming.”
De beslissing om een mogelijk datalek te melden ligt bij een schoolbestuur, niet bij de leverancier. Haal dus voldoende informatie op om risico’s af te wegen en overleg met je functionaris gegevensbescherming.
En als ik er niet uitkom?
Hopelijk heb je iets meer inzicht gekregen in waar het over gaat en hoe je op de hoogte blijft van de laatste informatie. Komt je er toch niet uit? Dan bel je met ons!
