Het Nationaal Cybersecurity Centrum (NCSC) heeft tot nu toe geen signalen ontvangen van grootschalige uitval of schade bij rijksoverheidsorganisaties of vitale aanbieders als gevolg van het lek bij Apache Log4j. Dat antwoordt minister Yesilgöz-Zegerius (Justitie en Veiligheid) op Kamervragen van de VVD.
Het NCSC acht het volgens de minister waarschijnlijk dat incidenten, waaruit schade kan ontstaan, over een langere tijdsperiode kunnen gaan plaatsvinden. Kleinschalig misbruik van de kwetsbaarheid bij organisaties in Nederland is wel bekend bij het NCSC. Het doel van de aanvallen is veelal financieel gewin. “Verwacht wordt dat kwaadwillenden de komende tijd naar kwetsbare systemen blijven zoeken en doelgerichte aanvallen uitvoeren”, aldus Yesilgöz-Zegerius. “De Log4J kwetsbaarheid wordt mogelijk een standaardonderdeel van aanvalsmethoden van actoren om toegang te krijgen tot systemen. De politie heeft tot op heden geen aangiften binnengekregen van aanvallen met betrekking tot deze kwetsbaarheid.”
Proactief
Volgens de minister heeft het NCSC vanaf het moment dat deze kwetsbaarheid bekend werd rijksoverheidsorganisaties, vitale aanbieders en schakelorganisaties zo veel als mogelijk proactief gewaarschuwd. Naast de gebruikelijke communicatiekanalen is een publiek informatieplatform opgezet om technische informatie over de kwetsbaarheid te verzamelen en verspreiden. Het Digital Trust Center (DTC) zet bij ernstige kwetsbaarheden alle kanalen in om het niet- vitale bedrijfsleven te informeren en waarschuwen. Ook bij de Log4J kwetsbaarheid was dit het geval.
Meerdere gemeentes hebben hun systemen gedeeltelijk afgesloten in verband met de kwetsbaarheid. Om hoeveel gemeenten het gaat, kan de minister niet zeggen. “De Vereniging Nederlandse Gemeenten (VNG) en de Informatiebeveiligingsdienst (IBD) houden geen overzicht bij van maatregelen van individuele gemeenten. Iedere situatie en iedere afweging is namelijk anders. De afwegingen om systemen gedeeltelijk/tijdelijk uit te zetten zijn door de gemeenten zelf gemaakt. De gemeenten zijn hierover transparant geweest via eigen mediakanalen naar inwoners.”
Naast gemeentes hebben ook organisaties in de vitale sectoren zoals banken hun systemen gedeeltelijk afgesloten. “Het NCSC heeft gelet op de ernst van de kwetsbaarheid geadviseerd waar updaten niet mogelijk is, te overwegen of het mogelijk is het systeem uit te schakelen totdat een patch beschikbaar is. Het (gedeeltelijk) afsluiten van een systeem is een eigen afweging van elke organisatie.”