PlusAchtergrond

Weer een enorm computerlek: kunnen we cruciale software nog wel vertrouwen?

Leren we genoeg van grote computerlekken? Twee jaar nadat er grote paniek uitbrak over lekken in veelgebruikte thuiswerksoftware maken cyberbeveiligers en IT’ers bij bedrijven, instellingen en overheden deze week overuren om een cruciaal lek in populaire software te dichten.

Herman Stil
null Beeld ANP XTRA
Beeld ANP XTRA

Een week nadat ict’ers een groot lek ontdekten in het veelgebruikte stukje opensourcesoftware ‘log4j’ van ontwikkelaar Apache, worstelen bedrijven, onderwijsinstellingen, waterschappen en overheden met het dichten ervan. Volgens het Nationaal Cyber Security Centrum (NCSC) is het lek nog altijd ‘kritiek’. De Duitse tegenhanger BSI heeft code rood afgekondigd en waarschuwt voor de uitval van computerdiensten.

De Belastingdienst haalde uit voorzorg afgelopen weekend online diensten uit de lucht, onder meer voor het doen van aangiften, het aanvragen van toeslagen en bij de systemen van de douane. “Onze website is in de lucht gebleven, maar functies van mijnbelastingdienst.nl zijn wel getroffen,” zegt een woordvoerder.

Pas in de loop van maandag waren alle fiscale diensten weer in de lucht, nadat de systemen waren gerepareerd. “Het heeft niet tot problemen geleid. Maar we hebben hard moeten werken om alles weer veilig te maken.” Er zijn volgens de woordvoerder geen aanwijzingen dat cybercriminelen misbruik hebben gemaakt van het lek.

Verhoogde dijkbewaking

Bij Waternet (dat onder meer over de drinkwatervoorziening gaat) en waterschap Amstel Gooi en Vecht (dijken, sluizen) is volgens een woordvoerder sprake van ‘verhoogde dijkbewaking’. “We nemen deze situatie zeer serieus en hebben onze crisisorganisatie opgeschaald. We voeren momenteel met onze leveranciers nadere analyses uit om de risico’s volledig in kaart te brengen.”

Ook Waternet heeft systemen tijdelijk preventief uitgeschakeld. “Daar constateerden we geen risico’s en deze zijn naderhand weer ingeschakeld. Dat heeft geen gevolgen gehad voor de dienstverlening richting onze klanten en inwoners.”

Volgens de Vereniging Nederlandse Gemeenten gebruiken vrijwel alle overheden programma’s waarin de gewraakte software is verwerkt, zoals in systemen die ze gebruiken om ambtenaren thuis te laten werken en in systemen voor digitale aanvraagformulieren. Onder meer Almere schakelde uit voorzorg ‘thuiswerksysteem’ Citrix tijdelijk af.

Amsterdam deed dat niet. “We nemen sinds eind vorige week actie in verband met log4j,” zegt een woordvoerder namens wethouder Touria Meliani (ICT). “Daardoor hoefden er geen systemen uit de lucht te worden gehaald en zijn er geen gevolgen voor interne gemeenteprocessen of de dienstverlening aan de burger.”

Het bedrijfsleven is vooralsnog terughoudender, wellicht uit angst onverlaten op het spoor te zetten. ABN Amro erkende eerder deze week systemen te hebben uitgezet, maar daardoor kwam de dienstverlening niet in gevaar.

Veel ellende

“We zullen nog heel veel ellende zien,” waarschuwt Ronald Prins van cyberbeveiliger Hunt & Hackett, dat voor klanten in de gaten houdt of onverlaten misbruik maken van lekken als in log4j. “Iedereen is nu bezig dit lek te dichten. Maar in de tussentijd zijn hackers met slechte bedoelingen al ongemerkt binnengedrongen om software achter te laten waardoor ze later weer naar toegang kunnen krijgen. Veel organisaties denken nu ten onrechte dat ze het probleem hebben opgelost en nu veilig zijn, maar cybercriminelen nemen de tijd.”

Daarnaast worden volgens de it-beveiliger, die eerder actief was met Fox-IT, veel lekken niet gedicht omdat ze onbekend zijn. “Vaak weten gebruikers of zelfs de producenten niet eens dat ze log4j gebruiken. Het kan zelfs in software van webcams, printers of airco’s zitten of in het besturingssysteem van industriële apparaten, zoals bij drukkerijen of fabrieken. Veel hackers zijn daar nu actief naar op zoek of zijn zo al binnengedrongen.”

Prins verwacht de komende tijd dan ook veel gijzelaanvallen te zien, waarbij computercriminelen computersystemen laten vastlopen en alleen na betaling van losgeld weer vrijgeven, zoals eerder onder meer bij Mediamarkt en de Universiteit Maastricht gebeurde. Deze zomer sloegen UvA en HVA nog zo’n aanval af. “Wij kennen nog vijftig keer zoveel voorbeelden. Bedrijven en instanties zijn daar vaak zwijgzaam over.”

Spionagesoftware

Ook kunnen via het lek computersystemen ongemerkt worden ingezet voor cyberaanvallen of misbruikt worden om cryptomunten te ‘mijnen’. “Maar minstens zo erg is het installeren van spionagesoftware waarmee criminele hackers ongemerkt allerlei gevoelige gegevens verzamelen.”

Bedrijven, overheden of instellingen die zich nog niet voldoende hebben ingedekt tegen dit soort problemen, vissen volgens Prins nu achter het net. “We worden massaal gebeld door partijen die hulp willen. Dat komt nu even niet uit en dat geldt voor veel andere beveiligingsbedrijven vast ook. Iedereen zit nu tot over de oren in het werk.”

Lek na lek

Het nieuwe lek komt bijna op de kop af twee jaar na de Citrixchaos, waarbij veelgebruikte software om op afstand te werken lek bleek te zijn. De impact was zo groot, dat de Onderzoeksraad voor Veiligheid (OVV) de aanpak door overheid en bedrijfsleven onder de loep heeft genomen. Donderdagmiddag verschijnt een rapport komt over wat er toen mis ging.

Januari 2020 bleek dat een update voor de door bedrijven en overheden veelgebruikte ‘thuiswerksoftware’ Citrix lek. Nadat in malafide hackerskringen programmatuur opdook waarmee dat lek kon worden misbruikt, moesten onder meer het Rijk, een aantal gemeenten waaronder Amsterdam, Rotterdam en Amstelveen, maar ook ‘cruciale’ infrastructuur zoals de ziekenhuizen van Amsterdam UMC, en De Nederlandsche Bank en bedrijven zoals Schiphol, Citrix uitschakelen in afwachting van een oplossing.

Daardoor kwamen allerlei diensten, zoals het plannen van ziekenhuisbezoek of vlieginformatie, plat te liggen. Ook ontstonden lange files, omdat veel ambtenaren niet konden thuiswerken. Pas na een week kon het probleem worden opgelost.

Meer over