Ik ben het erg eens met al je punten. Log4j is een gemene bug die eenvoudig misbruikt kan worden en 'op afstand' kan doorwerken in andere systemen.
Wel heb ik meer last gehad van de paniek rond die bug dan de bug zelf. Bedrijven met Windows 2008 webservers die al tig jaar geen updates gehad hebben moeten ineens gescand worden op de aanwezigheid van Log4J terwijl die bedrijven helemaal niks met Java doen...
Ik kan ook beamen dat er deze keer fors is gereageerd. Ik ga daar op zich niet over klagen, de bug is er erg genoeg voor. Volgens mij heeft het veel te maken met de timing, vlak voor kerst. Dat is hét moment voor hackers om toe te slaan omdat iedereen vakantie heeft. Dan is er minder toezicht, minder tijd om te reageren en meer tijd dat de baas "gewoon" betaalt zodat kerst niet in het water valt.
Zeker na de ransomware aanval op de universiteit van Maastricht is daar in Nederland veel aandacht voor.
De keerzijde is dat allerlei mensen zich er mee zijn gaan bemoeien die normaal niks aan IT-beveliging doen en dat geeft natuurlijk niet de beste resultaten. Ook bij ons zag ik dat er veel werk is gestoken in de verkeerde systemen alleen omdat een of andere tussenmanager van een andere afdeling iets had gehoord dat de tennisleraar van z'n buurvrouw in de krant had gelezen.
Ik ben blij met de aandacht voor de bug, die aandacht is het probleem niet.
Het echte probleem is hoeveel organisaties er hebben zitten slapen waardoor de aandacht voor log4j buiten proportie lijkt omdat er zoveel paniek over was.
Deze thread staat vol met mensen die klagen over de antieke systemen die ze nog moeten beheren. Die systemen hadden natuurlijk opgeruimd moeten worden. Als dat om wat voor reden niet kan dan zou je al andere maatregelen getroffen moeten hebben om het probleem klein te houden. En je zou sowieso een goed beeld moeten hebben van wat je in huis hebt zodat je bij problemen gericht kan zoeken.
Daar moet ik wel bij zeggen dat niet altijd direct duidelijk is of een systeem ergens log4j gebruikt, het kan behoorlijk verborgen zijn. Een brede scan doen is op zich een goed idee, maar aan het begin van een crisis heb je daar geen tijd voor, zeker als je het gereedschap nog niet klaar hebt staan.
Het frustrerende is dat een hoop organisaties vinden dat ze uitstekend hebben gehandeld. "Er was een crisis, het personeel is gebeld, die zijn gaan werken en hebben het opgelost. Succes! Wat zijn we toch goed!"
Het scannen van oude systemen is een prachtig voorbeeld omdat er twee versies van log4j zijn, een oude en een nieuwe. Alleen de nieuwe was kwetsbaar voor deze bug. Systemen die al 15 jaar geen goed onderhoud hebben gehad is niet nodig, toen bestond de bug nog niet.
Maar 1 week later werd een bijna net zo grote bug gevonden in log4j 1. Hoewel de bug iets kleiner was is de impact misschien wel groter omdat log4j geen support meer heeft en er dus helemaal geen patches voor deze bug zijn. Je zou dus denken dat er een net zo grote paniekreactie zou komen op die nieuwe bug. Maar nee hoor, doodse stilte. Alles is weer zoals het was. Dezelfde mensen die met Kerst een bek vol hadden over "verantwoordelijkheid nemen" en over "uitzonderlijke situaties" en "ernstige bedreigingen van de bedrijfszekerheid" zijn nu weer onbereikbaar.
De pijnlijke realiteit is dat we best wel klem zitten. Deze situatie is over vele jaren opgebouwd en op veel punten zijn er eigenlijk geen goede oplossingen meer, in ieder geval geen die een normal bedrijf kan betalen. Zelf patches voor Windows 2003 systemen schrijven is in theorie mogelijk maar in praktijk niet realistisch. Veel organisaties zijn helemaal afhankelijk van oude software waar geen vervanging voor is, althans niet zonder hun oude data kwijt te raken en als je met andere organisaties moet samenwerken wordt het nog veel lastiger.
Hoe langer je wacht hoe duurder het wordt, daardoor zijn er steeds meer systemen die financieel gezien onvervangbaar zijn.
De onhoudbaarheid van de situatie begint langzaam door te dringen buiten de IT. De realiteit dwingt accountants, verzekeraars, banken, auditors, overheden en ander professionele 'dragers van verantwoordelijkheid' om steeds meer aandacht te geven aan IT. Maar die kunnen ook niks veranderen aan de enorme prijs van verandering.
In mijn omgeving zie ik vooral nog ongeloof. "IT zal wel weer overdrijven want die roepen altijd dat het dak in brand staat" lijkt de houding. Je kan vaak niet anders want concluderen dat je meer in IT moet investeren dan je organisatie waard is wil niemand. Wie dat echt gelooft kan er beter mee stoppen. We houden dus mensen over die de realiteit ontkennen of niet begrijpen
De mensen die het niet geloven of begrijpen beginnen dus een eindeloze series onderzoekjes, kosten-baten-analyses, mitagatietrajcten, prioriteitenlijstjes, gap-analyses, auditrondes in de hoop dat iemand anders met een oplossing komt die technisch, financieel en zakelijk haalbaar is zonder pijnlijke ingrepen. Ondertussen worden ze leeggemolken.
En dan werk ik nog in een sector die veel aandacht krijgt van overheid, toezichthouders en de media.
:strip_exif()/i/2004648158.jpeg?f=fpa)
:strip_exif()/i/2004648160.jpeg?f=fpa)
:strip_exif()/i/2004648164.jpeg?f=fpa)
/i/2004763458.png?f=fpa)
:strip_exif()/i/2004648162.jpeg?f=fpa)
/i/2004634846.png?f=fpa)
/i/2004675756.png?f=fpa)
/i/2004838090.png?f=fpa)
/i/2004832086.png?f=fpa)
:strip_icc():strip_exif()/u/174878/SCKnightMicro.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/79614/Family-Guy-Victory-is-Ours.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/71967/Grimlock.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/78725/train-icon3.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/352195/crop565217718c5e0_cropped.jpeg?f=community){kind=small}
/u/63682/crop5de0dc242f46f_cropped.png?f=community){kind=small}