'Geen reden tot offline zetten KvK-site'

Delftse hoogleraar Arie van Deursen kritisch

Dit artikel delen:

Het besluit van de Kamer van Koophandel (KVK) tijdelijk de website uit de lucht te halen uit vrees voor kwetsbaarheden in de softwaretool Log4j is niet onomstreden. Prof. Arie van Deursen, hoogleraar software engineering aan de TU Delft, vindt dit wel een hele vergaande beslissing.

Uit voorzorg was de website van afgelopen vrijdagavond tot maandagochtend vroeg niet beschikbaar. Ook andere applicaties zoals de aansluitingen op onder meer KVK, API en KvK Dataservice waren uitgezet.

De KVK noemt dit belangrijk voor de bescherming van it-systemen, ook die van andere gebruikers van deze systemen. 

Van Deursen zegt in een tweet te begrijpen dat het operationele team misschien moe is. Sinds de kwetsbaarheden in de Java-log-tool bekend werden, hebben veel it’ers nachtenlang doorgewerkt. Ook begrijpt de Delftse hoogleraar dat het management kan kiezen voor ‘better safe than sorry’. Maar volgens hem heeft dat in een goed draaiende it-omgeving geen zin. Ook voorspellingen dat tijdens de kerst aanvallen worden verwacht, mogen geen reden vormen. ‘Aanslagen zijn altijd mogelijk, ook na kerst.’ 

Evenmin valt het besluit te verdedigen door te stellen dat Log4j wordt geplaagd door nieuwe kwetsbaarheden. Van Deursen: ‘Dit slaat nergens op. De laatste patch (2.17) is van 17 december. Als een site in de lucht is, moet er iemand dienst hebben om beveiligingsproblemen op te lossen. De Delftse hoogleraar vraagt zich af of het ops-team een kerstvakantie nodig had. 

Geen upgrade?

Het enige argument dat een beetje hout snijdt, is volgens Van Deursen dat gebruikers van de KVK-gegevens mogelijk nog geen upgrade van Log4j hebben gedaan. De KVK wijst erop een basisregistratie te beheren, met gegevens die moeten worden beschermd. Bovendien maakt de KVK onderdeel uit van verschillende ketens met andere partijen. Die kunnen niet altijd volledige zekerheid geven. 

Van Deursen reageert: ‘Maar dan is heropening op maandag alleen veilig als die consumenten deze problemen die dag hebben opgelost. Maar hij vraagt zich af of dit wordt gecontroleerd en om welke consumenten het gaat. Van Deursen heeft de indruk dat dit niet de echte reden is. 

Ook de komende tijd moeten bedrijven alert zijn op Log4j-aanvallen. Het Nationaal Cyber Security Centrum (NCSC) ziet voorlopig alleen op kleine schaal misbruik van het lek. Maar deze organisatie verwacht dat dit misbruik zal toenemen. Volgens computer- en netwerkbeveiliger Tenable is 10 procent van onderzochte servers, webapplicaties, containers en iot-apparaten kwetsbaar.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in
Vacatures bij TU Delft

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2021-12-27T10:12:00.000Z Alfred Monterie
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.