13 april 2022
Veiligheid boven alles: hoe snel reageren grote problemen bij De Jong Zuurmond voorkwam
In december 2021 werd er een ernstige kwetsbaarheid gevonden in Apache Log4j. Deze java log-tool wordt door veel applicaties en diensten gebruikt. Het lek vormde voor Esri en veel organisaties die gebruik maken van ArcGIS een risico, omdat ook enkele ArcGIS Enterprise-componenten gebruikt maakt van Log4j. Esri Nederland reageerde snel op het lek, door binnen enkele dagen contact op te nemen en ondersteuning te bieden aan alle organisaties die met deze kwetsbaarheid in Esri-technologie te maken kregen.
Eén van die klanten was De Jong Zuurmond Infrabeheer, Onderhoud & Services. Zij gebruiken ArcGIS onder andere om werkzaamheden te registreren, kaartmateriaal te delen met werknemers, onderaannemers en mutaties van bomen, waterwerken en andere zaken in de openbare ruimte door te voeren. Elwin van de Beek is IT-manager bij De Jong Zuurmond en heeft veel samengewerkt met de experts van Esri Nederland in de periode nadat de kwetsbaarheid in Log4j aan het licht kwam. Samen zorgden zij ervoor dat het dagelijkse werk bij De Jong Zuurmond gewoon door kon gaan tijdens de kwetsbaarheid. Daarbij werd een geplande update van het systeem noodgedwongen enkele weken naar voren gehaald om de beveiliging weer op orde te maken.
Back-ups van financiële applicaties
Van de Beek: “Zodra we bericht kregen van het lek bij Log4j zijn we gaan kijken op welke plekken in onze systemen hier gebruik van werd gemaakt. De eerste prioriteit had de financiële applicaties. Als eerste stap zorgden we dat de back-ups van deze zaken in orde waren. Daarna ging de zoektocht verder naar andere applicaties. Voordat we dat goed en wel in kaart hadden kregen we al bericht van Esri Nederland. Zij lieten ons weten welke van onze servers er vatbaar voor waren en hadden deze voor de zekerheid uitgeschakeld. Dat was erg fijn. Bovendien boden zij al heel snel waardevolle informatie over de situatie. We kregen een handige samenvatting over de risico’s en welke vervolgacties hier op volgden. Niet iedereen binnen de organisatie begrijpt de impact van zo’n datalek en de noodzaak om hier snel op te reageren. Maar dankzij de heldere en volledige informatie zag iedereen direct de urgentie. Vervolgens zijn we samen met Esri gaan kijken hoe de risico’s bij ons aangepakt konden worden. We onderzochten of het mogelijk was een soort read-only-omgeving live te houden. Korte tijd hebben we een workaround gehad die hiervoor zorgde. Snel daarna hebben we de vervroegde update in gang gezet.”
"Dat het updaten van ons platform door experts werd gedaan nam ons veel werk uit handen"
Elwin van de Beek, IT-manager De Jong Zuurmond
Geplande update in een stroomversnelling
Bij een informatiebeveiligingsincident zoals bij Log4j is het grootste risico voor De Jong Zuurmond dat het systeem tijdelijk plat komt te liggen, waardoor ook de dagelijkse werkzaamheden stilvallen. “Wanneer we geen gebruik kunnen maken van onze ArcGIS-producten hebben onze medewerkers en opdrachtgevers geen toegang tot het benodigde kaartmateriaal. Met als gevolg dat we onze werkzaamheden niet kunnen uitvoeren en niet meer kunnen voldoen aan contractuele verplichtingen. Dat is natuurlijk niet wenselijk,” aldus Van de Beek. Om dit soort problemen te voorkomen en er zelf geen omkijken naar te hebben maakt De Jong Zuurmond gebruik van Esri’s expertise van beheer en onderhoud middels Managed Services. “Dat houdt in dat zij het beheer van onze systemen uit handen neemt. En dus ook het uitvoeren van updates van ons systeem.” Een grote update stond gepland voor de eerste week van januari, wanneer de medewerkers buiten nog een week vakantie hadden en hier het minst last van zouden ondervinden. Door het lek bij Log4j kwam dit echter in een stroomversnelling. Oudere versies van ArcGIS Enterprise waren kwetsbaar voor het lek bij Log4j, de nieuwste versies niet. Door het systeem te updaten naar de nieuwste versie maakte De Jong Zuurmond de omgeving dus direct veilig. “Doordat iedereen de noodzaak inzag van de update, was de besluitvorming om dit eerder te starten snel rond. Toen kon Esri aan de slag om de update in gang te zetten. Het updaten van zo’n platform vereist wel een bepaalde skillset. Dat dit door experts werd gedaan nam ons veel werk uit handen,” zegt Van de Beek.
Extra scherp op veiligheid
Inmiddels zijn alle kwetsbaarheden bij De Jong Zuurmond als gevolg van het Log4j-lek verholpen en is de veiligheid helemaal op orde. “Na deze situatie zijn we extra scherp op de veiligheid. We kijken kritisch naar welke dingen we zelf blijven doen en welke dingen we het best kunnen laten doen door de leverancier van de software. In samenwerking met Esri maken we steeds meer gebruik van slimme diensten en platformen. Door een project in een geborgde omgeving uit te voeren raak je wanneer er een probleem optreedt geen andere projecten. Zulke segmentatie is denk ik een goede manier om je systeem te beschermen. Daarbij is het belangrijk dat je inzichtelijk hebt wie binnen de organisatie van welke dienst gebruikt maakt en dat dit terug te vinden is in je logs. Oftewel: zorg dat het beheer van de systemen goed op orde is. Dan bespaar je jezelf een hoop hoofdpijn.”
Wilt u weten wat Esri Nederland kan betekenen voor de privacy & security van uw organisatie? Bekijk de pagina Privacy & Security.