Logo Parlement Buxellois

Schriftelijke vraag betreffende het beveiligingslek in Log4j en de gevolgen van dit lek voor de gemeentelijke en regionale IT

Indiener(s)
Emin Özkara
aan
Bernard Clerfayt, Minister van de Brusselse Hoofdstedelijke Regering, belast met Werk en Beroepsopleiding, Digitalisering, Plaatselijke Besturen en Dierenwelzijn (Vragen nr 860)

 
Datum ontvangst: 20/12/2021 Datum publicatie: 28/01/2022
Zittingsperiode: 19/24 Zitting: 21/22 Datum antwoord: 25/01/2022
 
Datum behandeling van het stuk Indiener(s) Referentie Blz.
12/01/2022 Ontvankelijk Uitgebreid Bureau van het Parlement
 
Vraag   

Vandaag, 20 december 2021, wens ik u vragen te stellen over het recent ontdekte veiligheidslek Log4j. Ik zal niet ingaan op technische beschouwingen, die op het volgende adres kunnen worden geraadpleegd https://cert.be/nl/warning-active-exploitation-0-day-rce-log4j, maar door het lek zou zich onder meer malware (bijvoorbeeld ransomware) kunnen verspreiden en virtuele machines, bedrijfsapplicaties en clouddiensten kunnen aanvallen.

Zoals u weet, worden virtuele machines, bedrijfsapplicaties en clouddiensten thans ontplooid en gebruikt door de gewestelijke en gemeentelijke overheidsdiensten.

In verband met de gemeentelijke en gewestelijke IT wens ik u de volgende vragen te stellen :

Na de ontdekking van het veiligheidslek,

  1. Welke maatregelen werden getroffen om de gewestelijke en gemeentelijke IT te beschermen tegen de exploitatie van het veiligheidslek?

  2. Welke maatregelen werden getroffen om de impact van de patches op de prestaties en de veiligheid van het systeem te meten?

  3. Welke tegenmaatregelen werden getroffen om de veiligheid, integriteit, vertrouwelijkheid en beschikbaarheid van de gegevens te waarborgen?

  4. Welke maatregelen werden getroffen om de gevaren van het veiligheidslek uit te leggen aan de IT-managers en de gebruikers?

 
 
 
Antwoord    1/
De midden december 2021 ontdekte kwetsbaarheid in Log4j, die beschouwd werd als een zero-day-kwetsbaarheid (een 0-day of zero-day vulnerability in het Engels is een IT- beveiligingslek waarvan de uitgever van de software of de leverancier van de dienst nog niet op de hoogte is of waarvoor nog geen patch werd uitgevoerd), werd meteen ernstig genomen, aangezien een geslaagde aanval had kunnen leiden tot een volledige controle over de kwetsbare applicatie.
Met het oog op de dreiging werd rechtstreeks bij het CIBG een speciaal team opgericht om de omvang van het probleem te analyseren.

De volgende acties werden ondernomen:
● de opstelling van een inventaris van de netwerkapparaten en -toepassingen waarop dit lek een invloed zou kunnen hebben;
● de uitwerking en de lancering van de communicatie met de klanten;
● de prioritering van de updates op de kritieke servers;
● de raadplegingen van de publicaties van de fabrikanten om onze mate van blootstelling te kennen en de uitvoering van de updates volgens hun aanbevelingen;
● de configuratie van de beschermingsoplossingen (WAF - web application firewall) voor bepaalde IT-componenten die niet rechtstreeks konden worden gepatcht;
● de follow-up van de acties tot de sluiting van de openstaande punten;
● de uitvoering van kwetsbaarheidsscans om na te gaan of de infrastructuur niet langer kwetsbaar was.

2/
Binnen het CIBG moet elke uitrol van patches in productie een reeks validaties doorlopen. De voorgestelde patches worden namelijk eerst getest volgens de instructies van de fabrikanten in twee verschillende omgevingen: ontwikkeling en acceptatie alvorens een productie-uitrol te plannen.
Bovendien bestaat er een monitoringsysteem voor de informatie-infrastructuur van het CIBG, opdat elke anomalie met betrekking tot de prestaties onmiddellijk zou worden opgespoord.
Pas na al deze validaties en op voorwaarde dat het resultaat positief is, worden de patches in productie genomen.


3/
De huidige technische veiligheidsmaatregelen (zoals firewalls, isolatie van omgevingen, antivirus, regelmatige back-ups, enz.) en organisatorische maatregelen die door het CIBG in het gewestelijke datacentrum worden toegepast, volstaan momenteel om de bescherming van de data op een geschikte manier te waarborgen.
Bovendien zal het CIBG, als gewestelijke speler op het gebied van cyberdefensie, zijn IT-monitoring en de opsporing van verdachte activiteiten in zijn infrastructuur versterken door dit jaar een SOC-dienst (Security Operations Centre) op te zetten.

4/
Gezien het kritieke karakter van dit lek heeft het CIBG onmiddellijk een specifieke veiligheidsmededeling opgesteld waarin het de gebruikers van Apache Log4j uitnodigde om de beschikbare updates zo snel mogelijk te installeren en regelmatig de website van het CCB (Centre for Cyber Security Belgium) over dit onderwerp te raadplegen. Dat gebeurde op verschillende niveaus en via verschillende kanalen.