NCSC bericht over groot beveiligingslek, moeten scholen zich ook zorgen maken?
Sinds afgelopen vrijdag is er door het Digital Trust Center (DTC) van het Ministerie van Economische Zaken en Klimaat) en het Nationaal Cyber Security Center (NCSC) gecommuniceerd over een kritieke kwetsbaarheid in de Apache Log4j software. Dit is een softwareproduct dat wordt gebruikt voor het vastleggen van meldingen in software (logging). Hackers kunnen via deze software ongemerkt systemen en applicaties binnendringen. De software zit in vele honderden, zo niet duizenden softwareproducten en applicaties. De kans dat scholen zijn of worden geraakt door deze kwetsbaarheid is dus aanwezig.
Wat kun je doen als school?
Op de informatiepagina van het NCSC is een overzicht van de producten die mogelijk geraakt zijn. Weet jij exact wat je als school in huis hebt? Dan kun je daar zien of je gebruik maakt van een product dat aan Log4j gelinkt is. Besef dat het gepubliceerde overzicht nog niet volledig is. Er worden nog steeds producten gevonden waar Log4j een onderdeel van is. Nog niet alle softwareleveranciers hebben namelijk vastgesteld of ze geraakt zijn en/of er gevolgen zijn voor hun product.
Kennisnet heeft een lijst gepubliceerd met leveranciers die geen Log4j gebruiken of inmiddels updates/patches hebben doorgevoerd. De lijst wordt steeds verder aangevuld. Houd de website van Kennisnet dus in de gaten!
Vragen voor je leverancier
Er wordt wereldwijd gescand naar kwetsbare systemen. Ook is vastgesteld dat er inmiddels massaal misbruik wordt gemaakt van deze kwetsbaarheid. Daarom is het verstandig om contact op te nemen met je softwareleverancier(s) of ICT-netwerkleverancier.
De volgende vragen kun je hen stellen:
- Is onze school kwetsbaar voor de kritieke kwetsbaarheid Apache Log4j?
- Welke stappen moet de school ondernemen om hier geen last van te krijgen?
- Welke acties worden door jullie ondernomen om de schoolomgeving veilig te houden?
- Wat kan ik doen/wat doen jullie om te controleren of de school al is geraakt?
Mocht je leverancier gehackt zijn of als dit niet uitgesloten kan worden, meld dit dan ook bij je FG en overleg of het datalek gemeld moet worden.
Handige links
- Nieuwspagina van het DTC
- Nieuwspagina van het NCSC
- Checktool op Apache Log4j, gemaakt door security bedrijf Northwave
- Overzicht van applicaties die gebruik maken van Apache Log4j