Toezichthouder FTC zet bedrijven die Log4j niet patchen onder druk

Toezichthouder FTC dreigt het met inzetten van alle bevoegdheden in de strijd tegen ongepatchte Log4j systemen. Die waarschuwing is ondubbelzinnig en gericht aan alle bedrijven en instellingen in Amerika. Daarmee gaat de FTC veel verder dan instanties in Nederland en het laat zien dat Washington serieus werk maakt van het bestrijden van cybercrime.

Achtergrond Log4j

Wat er mis is met Log4j mis is en hoelang dat al speelt, staat in dit eerder aangeleverd artikel van Ernst Veen. Hij beschrijft daar het onderwerp op een goed leesbare wijze. Sinds het verschijnen van dat artikel zijn enkele weken verstreken. In Nederland en daarbuiten moet als het goed zijn met man en macht zijn gewerkt om de lekken te dichten.

Er zijn inmiddels patches en updates verschenen. Sommigen waren niet goed, waardoor gelijke zwaktes bleven bestaan. In andere gevallen is het nog steeds wachten op de juiste fixes. Gebruikers van software die daardoor getroffen is hebben het advies gekregen andere maatregelen te treffen.

Veel software betroffen

Daarbij gaat het lang niet alleen maar om typische businesssoftware. Dat die vertrouwt op Log4j maakt het voor cybercriminelen wel een makkelijk doel. Log4j is echter ook verweven in typische enduser software, security software en cPanel, een van de meest gebruikte pakketten voor webhosters. Een overzicht van de getroffen software is hier te vinden, maar een compleet overzicht is dat niet. Dat is ook een van de meest vervelende problemen.

Toezichthouder FTC heeft zo te zien geen zin nog langer te wachten. Elke dag dat de gaten ongedicht blijven neemt de kans op gerichte aanvallen toe. De angst lijkt niet zo zeer te zijn dan een bedrijf via die route wordt platgelegd met ransomware. Men maakt zich zorgen om besmetting van een hele keten van leveranciers en afnemers via een lekke configuratie . Dus een herhaling van de SolarWinds aanval. Er zijn ook de nodige zorgen om het lekken van persoonsgegevens als de lekke systemen eenmaal zijn ontdekt. Dat daar actief op wordt gescand door cybercriminelen is wel duidelijk. Citaat FTC: [this] vulnerability is being widely exploited by a growing set of attackers.”

Waarschuwing

Daarom is er een waarschuwing door verspreid. Daarin staat: [FTC] intends to use its full legal authority to pursue companies that fail to take reasonable steps to protect consumer data from exposure as a result of Log4j, or similar known vulnerabilities in the future.”

Het blijft niet bij die waarschuwing. De ontvangers worden ook nog “fijntjes” gewezen op de boetes die FTC in het verleden heeft opgelegd voor het nalaten persoonsgegevens te beschermen.

Tot zover bekend is er in Europa of Nederland nog niet op die bijna agressieve manier door een toezichthouder gecommuniceerd. Komt dat omdat we hier sneller de Log4j patches doorvoeren of weet FTC iets dat hier nog onbekend is?