Thomas Lund-Sørensen på bagkant af Log4j: Disse to vaner bør alle organisationer indlejre i deres it-drift i 2022

Annonceindlæg tema

Identity & Access Management er blevet rygraden i digital sikkerhed

Denne side indeholder artikler med forskellige perspektiver på Identity & Access Management i private og offentlige organisationer. Artiklerne behandler aktuelle IAM-emner og leveres af producenter, rådgivere og implementeringspartnere.

Log4j-sårbarheden skal lære organisationer at gå mere op i at få listet alle de softwarekomponenter, der eksisterer i den software, som virksomheden - offentlig eller privat - køber.

Det mener tidligere chef for FE-tjenesten Center for Cybersikkerhed, og nu konsulent og partner i den internationale rådgivningsvirksomheden Macro Advisory Partners (MAP), Thomas Lund-Sørensen.

"I disse dage kæmper mange organisationer med Log4Shell og Log4j-sårbarheden. Denne sårbarhed vil eksistere i mange år fremover på grund af den udbredte brug i OEM- og tredjepartssoftware," lyder det i et LinkedIn-opslag fra Lund-Sørensen.

Her tilkendegiver den tidligere CFCS-chef, at han har talt med flere private og offentlige myndigheder, der gennem den sidste uge har givet udtryk for, at være sikre på at have afværget Log4j-truslen.

"Problemet er – efter min mening – at det er virkelig svært at vide med sikkerhed," skriver Thomas Lund-Sørensen.

For at få denne vished, mener Thomas Lund-Sørensen, er det afgørende, at man i sin organisation har et fuldt overblik over den software, man anvender hele vejen undt i virksomheden.

"Tilføjelse til dette problem er det faktum, at dette særlige stykke programmering Log4j også kan eksistere skjult i andre dele af software, der kører på virksomheders – eller statslige – systemer. Og meget få organisationer har indsigt i, hvilke specifikke dele deres kommercielt licenserede eller OS-software er lavet af."

Dermed leverer Lund-Sørensen, to lektioner som en løftet pegefinger til de danske virksomheder og offentlige myndigheder, der bør tilføjes til to-do-listen i 2022:

For det første:

"For cybersikkerhed er det ved at blive obligatorisk at have (eller i det mindste tvivlsomt ikke at have) en omfattende og opdateret liste over al software, der kører på systemerne."

For det andet:

"Organisationer, der er offentlige eller private, skal begynde at kræve fuld viden om, hvilke softwarekomponenter der er inkluderet i den software, de kører på deres systemer - som en Software Bill of Materials (SBOM), som Biden-administrationen presser hårdt på gennem Cybersecurity and Infrastructure Security Agency."

Slutteligt ønsker Thomas Lund-Sørensen "God ferie – og fortsæt det gode arbejde til dem, der skal bruge resten af ​​året på at arbejde på Log4Shell."

I de generelle anbefalinger for at lappe huller efter Log4j-sårbarheden er at opgradere sine biblioteker til seneste version - som i skrivende stunder er 2.17.0-versionen.