Log4j-sårbarheden skal lære organisationer at gå mere op i at få listet alle de softwarekomponenter, der eksisterer i den software, som virksomheden - offentlig eller privat - køber.
Det mener tidligere chef for FE-tjenesten Center for Cybersikkerhed, og nu konsulent og partner i den internationale rådgivningsvirksomheden Macro Advisory Partners (MAP), Thomas Lund-Sørensen.
"I disse dage kæmper mange organisationer med Log4Shell og Log4j-sårbarheden. Denne sårbarhed vil eksistere i mange år fremover på grund af den udbredte brug i OEM- og tredjepartssoftware," lyder det i et LinkedIn-opslag fra Lund-Sørensen.
Her tilkendegiver den tidligere CFCS-chef, at han har talt med flere private og offentlige myndigheder, der gennem den sidste uge har givet udtryk for, at være sikre på at have afværget Log4j-truslen.
"Problemet er – efter min mening – at det er virkelig svært at vide med sikkerhed," skriver Thomas Lund-Sørensen.
For at få denne vished, mener Thomas Lund-Sørensen, er det afgørende, at man i sin organisation har et fuldt overblik over den software, man anvender hele vejen undt i virksomheden.
"Tilføjelse til dette problem er det faktum, at dette særlige stykke programmering Log4j også kan eksistere skjult i andre dele af software, der kører på virksomheders – eller statslige – systemer. Og meget få organisationer har indsigt i, hvilke specifikke dele deres kommercielt licenserede eller OS-software er lavet af."
Dermed leverer Lund-Sørensen, to lektioner som en løftet pegefinger til de danske virksomheder og offentlige myndigheder, der bør tilføjes til to-do-listen i 2022:
For det første:
"For cybersikkerhed er det ved at blive obligatorisk at have (eller i det mindste tvivlsomt ikke at have) en omfattende og opdateret liste over al software, der kører på systemerne."
For det andet:
"Organisationer, der er offentlige eller private, skal begynde at kræve fuld viden om, hvilke softwarekomponenter der er inkluderet i den software, de kører på deres systemer - som en Software Bill of Materials (SBOM), som Biden-administrationen presser hårdt på gennem Cybersecurity and Infrastructure Security Agency."
Slutteligt ønsker Thomas Lund-Sørensen "God ferie – og fortsæt det gode arbejde til dem, der skal bruge resten af året på at arbejde på Log4Shell."
I de generelle anbefalinger for at lappe huller efter Log4j-sårbarheden er at opgradere sine biblioteker til seneste version - som i skrivende stunder er 2.17.0-versionen.