Op 21 september 2021 wil ik u vragen naar de kritieke fout in AMD-processoren die werd ontdekt in april 2021 en die onlangs openbaar werd gemaakt. Zonder in te gaan op de technische beschouwingen, die te vinden zijn op dit adres https://zeroperil.co.uk/cve-2021-26333/, zou deze fout een kwaadwillende persoon (hacker) in staat stellen om de hand te leggen op elementen zoals identificatiegegevens van een gebruiker met administratorrechten of om gebruikt te worden in aanvallen zoals pass-the-hash om een extra toegang binnen een netwerk te krijgen.

Ik zou u de volgende vragen willen stellen in verband met de gemeentelijke en gewestelijke informatica:

Na de ontdekking van deze kritieke fout,

1. Welke maatregelen werden genomen om de IT-apparatuur te beschermen tegen misbruik van deze fout?

2. Welke maatregelen werden genomen om het effect van de patches op de systeemprestaties te meten?

3. Welke tegenmaatregelen werden genomen om de veiligheid, integriteit en vertrouwelijkheid van de gegevens te waarborgen?

4. Welke maatregelen werden genomen om de gevaren van deze kritieke fout uit te leggen aan de IT-verantwoordelijken en de gebruikers?

1/

Ter info: de ontdekte kwetsbaarheid van bepaalde types AMD-processoren (CVE-2021-26333) wordt momenteel als “medium” beschouwd in termen van kritiekheid volgens de CVSS-schaal (Common Vulnerability Scoring  System).

 Volgens deze schaal is het dus strikt genomen geen kritieke kwetsbaarheid. Dat valt te verklaren door het feit dat de impact slechts een verspreiding van informatie^[1] betreft.

 Bovendien bevestigt het CIBG dat de servers die gebruikt worden voor het Gewestelijke Datacenter, met inbegrip van de servers van de GOB die beheerd worden door het CIBG, niet getroffen worden door deze kwetsbaarheid. Het serverpark van het Gewestelijke Datacenter is immers enkel samengesteld uit processoren van Intel.

De kwetsbaarheid betreft eerder een klein deel van ons pc-park, waar de komende weken een patch zal worden geïnstalleerd.

 2/

De patch die AMD voorstelt, zal eerst in het labo worden getest vooraleer hij geïnstalleerd wordt. Vervolgens zal een automatische uitrol worden uitgevoerd waarvan de eindgebruiker geen hinder ondervindt.

3/

De huidige technische  (zoals firewalls, loskoppeling van omgevingen, antivirus, etc.) en organisatorische veiligheidsmaatregelen die het CIBG uitvoert in het Gewestelijke Datacenter, alsook de regelmatige update van de patches van de besturingssystemen en van de virtuele machines (VM), volstaan momenteel om de bescherming van de data passend te verzekeren.

Een andere reeds ingevoerde preventieve maatregel is de 2-factor-authentificatie. Deze veiligheidsprocedure wordt intussen standaard toegepast voor elke nieuwe toepassing van het CIBG. 

4/

Tot nog toe werd geen specifieke communicatie over de veiligheid als gevolg van deze kwetsbaarheid verspreid omwille van de redenen die in punt 1 uitgelegd worden. 

Het CIBG blijft evenwel niet achter en communiceert en sensibiliseert regelmatig over IT-veiligheid aan zijn gebruikers en aan de gewestelijke IT-verantwoordelijken. De aanbevolen boodschap voor dit soort kwetsbaarheden die op gezette tijden aan de IT-teams van de gewestelijke instellingen wordt doorgegeven, luidt: “Zorg ervoor dat de systemen altijd geüpdatet zijn met de meest recente beveiligingsupdates en volg de instructies van uw leveranciers van besturingssystemen en virtuele machines op”.

Ter info: de meest recente publicatie betreft de aankondiging van Apple over de kwetsbaarheid die door de spyware Pegasus uitgebuit wordt. Daarover werd onlangs een parlementaire vraag gesteld.

^[1] https://vuldb.com/fr/?id.182898