Bron: ANP, Rob Engelaar

Drie dagen op zwart door suikersoftware Apache Log4J

LEESTIJD: 7,5 MIN

‘We zetten onze website op zwart.’ Dit besluit nam de Kamer van Koophandel in de tweede week na de melding van het Nationaal Cyber Security Centrum (NCSC) dat er een risicovolle kwetsbaarheid zat in de veelgebruikte software Apache Log4J. Pieter Halenbeek, CIO van de Kamer van Koophandel en Martijn Jonk, teamleider bestuurlijke ondersteuning bij het NCSC en hoofd van het toenmalige Log4J-calamiteitenteam, vertellen over de eerste dagen na de melding, de impact van Log4J en het belang van een goede digitale weerbaarheid.

‘Je ziet het niet, je proeft het misschien niet eens’, begint Jonk. ‘Log4J vergelijkt men ook wel met suiker: zonder dat je het door hebt zit die overal in.’ Op een vrijdag, twee weken voor Kerst, ontvangen zijn collega’s bij het NCSC de eerste melding van een kwetsbaarheid in de software. De eerste stap bij dit soort meldingen is om te kijken hoe het precies zit, vertelt Jonk. ‘We duiden dan de kwetsbaarheid. Wij maken een analyse en kijken of de kwetsbaarheid ook echt te misbruiken is of dat het alleen in theorie zou kunnen gebeuren. Al snel bleek dat het misbruik niet alleen grote schade kon aanrichten, maar er was ook een ‘proof-of-concept’-publiekscode, een soort handleiding voor kwaadwillenden, beschikbaar. Daarmee was de kwetsbaarheid niet alleen meer een theoretische mogelijkheid, maar levensecht. Toen wisten we direct dat het mis was. ́

Apache Log4J

Apache Log4J software wordt veel gebruikt. Die vereenvoudigt het registeren en het loggen van handelingen. De programmeurs van de software bieden de codes gratis aan op internet, het is een zogeheten open sourcesoftware. Bedrijven als Microsoft, Twitter en Cisco maken gretig gebruik van deze software.

Martijn Jonk

Martijn Jonk

‘Je ziet het niet, je proeft het misschien niet eens’, begint Jonk. ‘Log4J vergelijkt men ook wel met suiker: zonder dat je het door hebt zit die overal in.’ Op een vrijdag, twee weken voor Kerst, ontvangen zijn collega’s bij het NCSC de eerste melding van een kwetsbaarheid in de software. De eerste stap bij dit soort meldingen is om te kijken hoe het precies zit, vertelt Jonk. ‘We duiden dan de kwetsbaarheid. Wij maken een analyse en kijken of de kwetsbaarheid ook echt te misbruiken is of dat het alleen in theorie zou kunnen gebeuren. Al snel bleek dat het misbruik niet alleen grote schade kon aanrichten, maar er was ook een ‘proof-of-concept’-publiekscode, een soort handleiding voor kwaadwillenden, beschikbaar. Daarmee was de kwetsbaarheid niet alleen meer een theoretische mogelijkheid, maar levensecht. Toen wisten we direct dat het mis was. ́

Apache Log4J

Apache Log4J software wordt veel gebruikt. Die vereenvoudigt het registeren en het loggen van handelingen. De programmeurs van de software bieden de codes gratis aan op internet, het is een zogeheten open sourcesoftware. Bedrijven als Microsoft, Twitter en Cisco maken gretig gebruik van deze software.

Een HIGH/HIGH-indicatie

De experts van het NCSC geven de kwetsbaarheid een zogeheten HIGH/HIGH-indicatie. Dit betekent dat zowel de kans op, als de schade van een aanval groot kunnen zijn. Het NCSC schaalt intern direct op en neemt een coördinerende rol aan. Jonk: ‘Vanaf dit moment stelden wij continu al onze partners op de hoogte van de impact van de kwetsbaarheid en gaven we hen een handelingsperspectief. Daarbij kozen we er bewust voor om een bredere, deels openbare mix van communicatiemiddelen in te zetten. Er zijn meerdere artikelen op onze website geplaatst, we deelden actief informatie via het Landelijk Crisis Management Systeem – het LCMS - en organiseerden verschillende webinars voor doelgroepen.’ Vooral de webinars bleken een schot in de roos. Sommige trokken wel 4000 kijkers. Het bleek de ideale plek om vragen te stellen. ‘Hoe weet ik of Log4J in mijn systemen zit?’, ‘hoe vinden we een indringer?’, ‘hoe kan ik mijn systemen updaten, oftewel patchen?’.

Om een deel van de vragen voor te kunnen zijn is vanaf het begin besloten om een GitHub-pagina te starten. ‘Dit werd een platform waar wijzelf, onderzoekers, de CERT-community, softwareontwikkelaars en cybersecuritybedrijven informatie deelden over de kwetsbaarheid’, legt Jonk uit. Dit bleek een goede zet. De GitHub speelde een belangrijke rol in het informeren en weerbaar maken van alle partners en werd zelfs hét internationale informatieplatform voor Log4J.

De HIGH/HIGH-indicatie bereikte ook de SOC-teams (Security Operations Center) van de Kamer van Koophandel. Volgens Halenbeek werd direct duidelijk dat deze kwetsbaarheid ernstige gevolgen kon hebben. ‘Een HIGH/HIGH-indicatie wordt niet zomaar gegeven, die moet je te allen tijde serieus behandelen. Daarom zijn wij die vrijdag direct bij elkaar gekomen en maakten we in het weekend meerdere impactanalyses. Toen is ook het crisismanagementteam – het CMT - ingelicht. Al snel werd duidelijk dat wij niet in staat waren om het systeem centraal te upgraden. Dit betekende dat de IT-teams zelf aan de slag moesten. Een grote klus en daarom besloten we om een coördinatieteam op te zetten. Gelukkig waren de teams zelf al begonnen met het maken van analyses en de nodige upgrades dat weekend.’

De Kamer van Koophandel werkt samen met veel verschillende partners en leveranciers die ook gebruik maken van de Log4J-software. Halenbeek: ‘Wij waren niet de enige in onze samenwerkingsketen die last had van deze kwetsbaarheid. Als je zo nauw samenwerkt en soms ook afhankelijk bent van een partij is het fijn om te weten hoe de situatie er daar uit ziet. Het blijft natuurlijk spannend hoe iedereen hiermee omgaat. Elke organisatie beslist zelf wat en welke informatie ze delen of niet. Wij kozen ervoor om transparant en open over onze stappen te communiceren.’

Het NCSC had een extra boodschap: ‘Ga ervan uit dat kwaadwillenden in de komende periode misbruik gaan maken van je systemen en bereid je hierop voor.’

Drie dagen op zwart

Het NCSC stuurt niet zomaar de zwaarst mogelijke waarschuwing. Naast de adviezen over het oplossen van de kwetsbaarheid in de eigen systemen, had het NCSC een extra boodschap: ‘Ga ervan uit dat kwaadwillenden in de komende periode misbruik gaan maken van je systemen en bereid je hierop voor.’ Log4J is een nieuw stukje gereedschap in de kist van cybercriminelen. Het NCSC keek vooral naar de kerstdagen, die zouden cruciaal kunnen worden voor organisaties. Jonk: ‘Samen met partners maakten we verschillende scenario’s. Eén scenario ging uit van grootschalig misbruik tijdens de kerstdagen, wanneer bedrijven minder oplettend zijn en minder capaciteit tot hun beschikking hebben.’

Bij de Kamer van Koophandel nemen ze daarom een drastisch besluit: de site en daarmee dus ook het handelsregister gaat tijdens de kerstdagen op zwart. Halenbeek: ‘Hoewel wij klaar waren met de updates en de systemen waar wij zicht op hadden weer veilig waren, was er ook nog een aantal factoren waar we onzeker over waren. Zo kregen wij simpelweg onvoldoende informatie van partners en leveranciers om met 100% zekerheid te kunnen zeggen dat de situatie overal onder controle was. Dat voelde niet goed. Ook omdat wij, als één van de organisaties in de vitale infrastructuur, de verantwoordelijkheid moeten nemen voor de veiligheid van de data in het handelsregister. De impact voor onze klanten is meegenomen in onze overwegingen. Die zou er zeker zijn, maar was te overzien.’

Bron: ANP, Kim van Dam

Portretfoto Pieter Halenbeek

Pieter Halenbeek

Na drie dagen ging de site weer de lucht in. De kwetsbaarheid was niet compleet verdwenen, maar het vertrouwen in de ketenpartners zorgde ervoor dat Halenbeek en zijn collega’s besloten dat de site tijdens oud & nieuw niet nog eens offline hoefde. ‘In de week na de kerstdagen zetten veel partners en leveranciers extra beveiligingsstappen’, vertelt Halenbeek. ‘Dit stelde ons meer gerust. Bovendien zou een tweede ‘zwarte’ periode te veel impact hebben op onze klanten.’

Jonk bevestigt dat na de kerstdagen het acute randje van de kwetsbaarheid eraf was en de impact van de kwetsbaarheid steeds beter te duiden werd. De rust in de cybersecuritycommunity keerde langzaam terug. ‘We kwamen erachter dat Log4J lijkt op het houten blokjesspel Jenga. Het digitale systeem van een organisatie kun je zien als die stapel houten blokjes. Log4J is binnen een systeem één van die blokjes. Per organisatie verschilt het waar dit blokje zit, en het is ontzettend lastig te weten waar dan. Trekt een kwaadwillende vervolgens aan dit blokje, dan kunnen verschillende dingen gebeuren. Soms gebeurt er niets, een andere keer wordt de toren wankel, maar hij kan ook direct instorten.’

Digitale weerbaarheid verhogen

Nu het acute gevaar lijkt geweken, is het belangrijk dat organisaties waakzaam blijven. Want volgens het laatste Cyber Security Beeld Nederland (CSBN), is de digitale weerbaarheid in Nederland nog niet hoog genoeg. Een belangrijk punt vindt Jonk. ‘Uit onderzoek blijkt dat cyberaanvallen veelal te voorkomen zijn als organisaties enkele basisadviezen toepassen. Zoals het installeren van multifactor authenticatie of het tijdig patchen van systemen. Daarnaast wil ik organisaties oproepen na te denken over de vraag ‘wat als het misgaat?’

Vroeg of laat gebeurt dat. Zorg daarom voor goede detectie in je netwerk en geef aan waar medewerkers verdachte activiteiten kunnen melden. Maar ook: zorg dat er draaiboeken klaarliggen. Weet wat je moet doen en welke leverancier je moet bellen. Door dat vooraf helder te hebben, kun je veel schade voorkomen en sneller weer op de been zijn.’

‘Het digitale systeem van een organisatie kun je zien als die stapel houten blokjes. Log4J is binnen een systeem één van die blokjes.’

Basisadviezen Log4J

Het NCSC stelde een aantal basisadviezen op die de digitale weerbaarheid van organisaties verhogen. Benieuwd hoe je dat doet voor organisatie? Je vindt de basisadviezen op de website van het NCSC.

‘Een HIGH/HIGH blijft een HIGH/HIGH’, vult Halenbeek aan. ‘Wij hebben de laatste jaren constant onze IT-volwassenheid verbeterd, maar het kan altijd nog beter. Deze groeiende volwassenheid heeft ertoe geleid dat wij de keuzes hebben gemaakt die nu gemaakt zijn. En nog steeds staan wij daarachter en zouden we in een gelijke situatie hetzelfde doen. Dat neemt niet weg dat wij dingen hebben geleerd. Zo zijn er versnelde stappen gezet in de implementatie van de SOC SIEM 24/7 monitoring. Daarnaast kijken we naar de ontkoppeling van de website en onze backend-systemen, zodat de website in een soortgelijke situatie in de toekomst online kan blijven. En onze cybersecurityafdeling heeft meer mandaat om direct actie te ondernemen als het mis dreigt te gaan.’

De Kamer van Koophandel is een vaste partner van het NCSC en is altijd bereid om – eventueel via het NCSC – andere organisaties te adviseren over cybersecurity. Halenbeek: ‘Samen proberen we de weerbaarheid van vitale organisaties te versterken. Het zou mooi zijn als we dit samen met andere organisaties nog meer kunnen uitbouwen. En zo met elkaar Nederland digitaal weerbaarder te maken.

Pieter Halenbeek Is sinds september 2019 eindverantwoordelijk voor IT en Online bij KVK. Pieter studeerde bedrijfseconomie aan de Erasmus Universiteit in Rotterdam en is ‘bij toeval’ in de IT beland. Tot 2012 werkte Pieter bij enkele grote ICT-dienstverleners en de jaren daarna bij een aantal digital agencies.

Martijn Jonk Is teamleider Bestuurlijke Ondersteuning bij het Nationaal Cyber Security Centrum (NCSC). Zijn team adviseert de leiding van het NCSC over alle bestuurlijke, politieke, strategische, juridische en communicatieve aspecten van het werk van het NCSC. Daarvoor heeft Martijn onder andere gewerkt als politiek adviseur en consultant. Hij studeerde politicologie en industrieel product ontwerp.

OOK INTERESSANT VOOR U:

Naar een Landelijk Crisisplan Digitaal

De hele beroepsbevolking moet meer weten over digitale weerbaarheid

Kennishoek

AANMELDEN:

Wilt u nieuwe edities van het Platform voor CrisisManagement per mail ontvangen? Meldt u zich dan aan!

DELEN:

deel deze pagina: