KVK weer online na Log4j-preventie in kerstweekend

De KVK heeft die dringende waarschuwing van het NCSC vorige week maandag (20 december) ontvangen. Vervolgens heeft de organisatie dit aangegrepen als reden om zijn online dienstverlening uit voorzorg offline te halen. Het ging daarbij nu alleen om de kerstdagen: de website kvk.nl plus een reeks applicaties zijn onbruikbaar geweest van vrijdag 24 december 18:00 uur tot maandag 27 december 7:30 uur.

Kwetsbaar door de keten

De bewust offline gehaalde applicaties zijn de KVK API (application programming interface), de KVK Dataservice en het KVK App Handelsregister. Daarnaast is de site ondernemersplein.nl afgelopen weekend down gehaald door de KVK. Een mededeling die online is gezet in plaats van de tijdelijk onbereikbare website biedt gebruikers excuses aan voor het ongemak. Daarin meldt de KVK dat het kritieke gat in de inmiddels beruchte Log4j-software reden is voor deze ingrijpende maatregel. Dat gat geeft kwaadwillenden de mogelijkheid om op afstand eigen, kwaadaardige code uit te voeren op systemen waarop of waarin Log4j draait.

Het gaat bij het offline gaan van de KVK niet alleen om Log4j-gebruik door die organisatie zelf. Bedrijven en organisaties lopen risico door mogelijk te laat of niet volledig patchen van de kwetsbaarheid in die tool. Complicerende factor daarbij is dat opensourcetool Log4j ook veel gebruikt wordt in uiteenlopende ICT-producten van vele andere leveranciers. De KVK wijst dan ook naar de keten waar zij deel van uitmaakt.

Verantwoordelijkheid nemen

"KVK beheert een basisregistratie, met gegevens die wij moeten beschermen. Bovendien maken wij deel uit van verschillende ketens met andere partijen, die niet altijd 100% zekerheid kunnen geven gezien de kwetsbaarheid in Apache Log4j. Gecombineerd met de waarschuwing van het NCSC, vindt KVK het verstandig om de digitale dienstverlening in ieder geval gedurende de kerstdagen tijdelijk offline te halen."

"Omdat we onze verantwoordelijkheid willen en moeten nemen voor alle overheidsorganisaties en andere partijen die gebruik maken van onze producten en diensten, is besloten om onze digitale dienstverlening op KVK.nl, maar ook aansluitingen op onder meer KVK API en KVK Dataservice, tijdelijk uit te zetten. Dit is belangrijk voor de bescherming van de IT-systemen. Niet alleen die van KVK, maar ook van andere gebruikers van deze systemen."

Continu monitoren en meteen patchen

Het NCSC heeft op 10 december, gelijk na het publiek bekend worden van het Log4-gat, de KVK gewaarschuwd. Die organisatie voor ondernemers in Nederland stelt in de eigen mededeling dat het toen "direct extra beschermingsmaatregelen" heeft getroffen. "Er wordt continu gemonitord (24/7) en KVK voert alle updates en patches uit zodra die beschikbaar zijn." Dat laatste is in de eerste twee weken van de zogeheten Log4Shell-exploit een reeks aan spoedpatches geweest. De initiële patch bleek het grote gat niet geheel af te dekken en daarna zijn nog andere kwetsbaarheden in de Log4j-code aan het licht gekomen.