Log4shell: ben ik goed verzekerd?

Wekenlang is het al in het nieuws: Log4shell. Ofwel: de gevaarlijke kwetsbaarheid in Apache Log4j. Dat is natuurlijk niet zonder reden, want hierdoor staan de deuren van computers wagenwijd open. Tijd om in te grijpen dus. Maar wat kunt én moet u tegen het Log4j-issue doen? En bent u verzekerd wanneer u niets doet? Hieronder geven wij de antwoorden.

ABN AMRO Verzekeringen 18 jan. 2022

Wat is Log4j – en wat is er aan de hand?

Apache Log4j is een logtool. Dit is een code, die de gebeurtenissen registreert die Java uitvoert. Hierin is een kwetsbaarheid ontdekt: wanneer Log4j een gebeurtenis meldt, interpreteert Java dit als een instructie van de ontwikkelaar en voert deze uit. Bijvoorbeeld: inloggen op een systeem. Dit biedt hackers de mogelijkheid om gebeurtenissen te manipuleren en Java hun eigen code uit te laten voeren. Zo kunnen ze gegevens stelen, computers gijzelen of zelfs hele systemen overnemen.

Meer weten over Log4shell? Lees dan ook ons eerdere artikel: ‘Log4shell: kwetsbaarheid in Log4j. Wat weten we nu?’

Welke risico’s loopt u bij deze kwetsbaarheid?

De kwetsbaarheid in Apache Log4j treft wereldwijd ontzettend veel bedrijven. Wordt deze logtool in uw digitale systeem gebruikt? Dan loopt ook uw organisatie een groot risico. Hackers kunnen dan een code uit laten voeren, waarmee zij een achterdeur in uw software bouwen. Op deze manier verschaffen zij zichzelf toegang en kunnen ze programma’s installeren en/of commando’s uitvoeren.

Hackers misbruiken de kwetsbaarheid in Apache Log4j met verschillende motieven. In veel gevallen gaat het om geld: ze willen eraan verdienen. Ransomware is dan ook het meest realistische scenario: hackers gijzelen in dat geval uw systeem om data te stelen en vervolgens losgeld te vragen.

Erik van Gameren, Relatiemanager verzekeren bij ABN AMRO Verzekeringen

Wat kunt u doen om het Log4j-risico te verminderen?

Zoals u zich wel kunt voorstellen, kunnen de gevolgen van Log4j groot zijn. Om te voorkomen dat u zelf slachtoffer wordt, kunt u zelf actie ondernemen. Maar wat kunt u doen om de kans op schade te verminderen? Hieronder sommen we de belangrijkste maatregelen op:

Installeer bij applicaties of systemen, waar gebruik wordt gemaakt van Apache Log4j, zo snel mogelijk de update.
Weet u niet of uw bedrijfsapplicaties gebruik maken van Apache Log4j? Doe dan navraag bij uw IT-beheerder of softwareleverancier.
Zorg voor back-ups van belangrijke bedrijfsdata.

Weten wat u nog meer kunt doen?

De bovengenoemde maatregelen zijn een goede stap in het veiligstellen van data bij een hackpoging via Apache Log4j. Wilt u weten wat u nog meer kunt doen? Houd dan de website van het Nationaal Cyber Security Centrum in de gaten. Onze cybersecurity-partners MMOX en Perfect Day helpen ook graag uw bedrijf veiliger te maken.

Bent u verzekerd wanneer u niets tegen het Log4j-issue doet?

Nee, alleen het afsluiten van een cyberverzekering is NIET voldoende. Hoewel iedere verzekeraar zijn eigen voorwaarden heeft, staat overal de eigen verantwoordelijkheid centraal. Wanneer u het issue van Log4j niet op tijd aanpakt, kan het voorkomen dat u bij een eventuele schade niets of minder krijgt uitgekeerd.

Hiscox meldt in hun verzekeringsvoorwaarden het volgende: ‘U dient alle maatregelen te nemen ter voorkoming of vermindering van schade of dreigende schade.’ Een andere cyberverzekeraar – Chubb – gaat hier dieper op in. Zij sluiten het Apache Log4j-issue uit van dekking, wanneer u niet binnen 60 dagen (nadat deze beschikbaar is) een patch-, fix- of mitigatietechniek toepast.

Conclusie: ook wanneer u voor uw bedrijf een cyberverzekering heeft afgesloten, is het belangrijk dat u zelf actie onderneemt om schade door het Log4j-issue te voorkomen.