Kabinet gaat niet op zoek naar Log4j-alternatief
Een alternatief voor Log4J is niet per se veiliger en omdat het vervangen van dit soort software zeer complex is een niet-realistische oplossing. Dat stellen ministers Yesilgöz van Justitie en Veiligheid en Adriaansens van Economische Zaken in antwoord op Kamervragen van VVD-kamerlid Queeny Rajkowski.
© Pixabay CC:0
Pixabay CC:0
De VVD wilde weten of er geen betere alternatieven voor de loggingsoftware zijn, aangezien de Log4j-kwetsbaarheid grote gevolgen heeft gehad. Onder meer banken en overheden schakelden software uit omdat ze vreesden gehackt te worden.
De ministers sluiten alternatieven uit en wijzen vooral naar patches. “In het geval van risico’s vanwege kwetsbaarheden, zoals die betreffende Log4J, is het van belang dat patches worden uitgevoerd of aanpassingen worden gedaan. Alle software kan kwetsbaarheden bevatten, zo ook Apache Log4J. De kwetsbaarheden in Log4J zijn snel opgelost: er is geen reden om op zoek te gaan naar een alternatief en een alternatief is niet per se veiliger”, zo schrijven Adriaansens en Yesilgoz. Volgens hen is "het vervangen van dit soort software is daarnaast zeer complex en daarmee een niet-realistische oplossing".
Het kabinet denkt wel dat er ‘structurele aandacht’ nodig voor de problemen. Het rapport van de Onderzoeksraad voor Veiligheid (OVV) "Kwetsbaar door software - Lessen naar aanleiding van beveiligingslekken door software van Citrix" zal dan ook zorgvuldig bestuurd worden, waarna een reactie volgt. Voor de zomer wordt de Tweede Kamer geïnformeerd.
Eigen afweging
Diverse overheden en bedrijven in de vitale sector zoals banken sloten vanwege Log4j tijdelijk hun systeem af. Hoeveel gemeenten een of meer systemen hebben afgesloten en om welke systemen dit gaat, kunnen de ministers niet beantwoorden. Gemeenten maken hierin hun eigen afweging op basis van het handelingskader van de IBD.
Afsluiten van systemen is ‘in sommige gevallen gebeurd’ en gemeenten zijn hierover volgens de minister transparant geweest via eigen mediakanalen naar inwoners. Ook voor banken en de telecomsector geldt dat preventieve maatregelen nemen, zoals afsluiten van systemen, een eigen afweging is van elke organisatie.
Experts zien Log4j als mogelijk slechts het begin kunnen van een hele nieuwe klasse van bugs. Voor een overzicht van de situatie rondom Log4j kunt u hier verder lezen.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee