LOG4J

USA vil straffe virksomheter som ikke gjør nok for å sikre Log4j

Handelskommisjonen trekker fram et skrekkeksempel på hvordan det kan ende.

Amerikanske Federal Trade Commision legger ikke fingrene imellom når den nå advarer virksomheter mot ikke å ta Log4j-sårbarhetene alvorlig nok.
Amerikanske Federal Trade Commision legger ikke fingrene imellom når den nå advarer virksomheter mot ikke å ta Log4j-sårbarhetene alvorlig nok. Foto: Pexels
Harald BrombachHarald BrombachNyhetsleder
6. jan. 2022 - 16:00

Den amerikanske handelskommisjonen, FTC, vil ha fortgang i amerikanske virksomheters arbeid med å fjerne sårbare versjoner av det Java-baserte loggbiblioteket Log4j.

Til skrekk og advarsel

I et blogginnlegg vises det til hva som skjedde med det amerikanske kredittvurderingsselskapet Equifax etter at selskapet hadde unnlatt å fjerne kjente sårbarheter, noe som førte til at persondata om 147 millioner forbrukere ble eksponert for uvedkommende.

Equifax inngikk i ettertid et forlik med blant annet FTC hvor førstnevnte måtte betale en bot på 700 millioner dollar.

Tilsvarende vil også kunne skje dersom amerikanske persondata kommer på avveie fra virksomheter som ikke har oppfylt forpliktelsene om å ta rimelige tiltak for å redusere faren ved kjente sårbarheter, noe som i blant annet USA er lovfestet. I Norge kan Datatilsynet tilsvarende utstede overtredelsesgebyr med utgangspunkt i den GDPR-baserte personvernlovgivningen.

– FTC har til hensikt å bruke hele sin juridiske autoritet til å forfølge selskaper som ikke går til rimelige skritt for å beskytte forbrukerdata mot eksponering som et resultat av Log4j, eller tilsvarende sårbarheter i framtiden, skriver FTC, før det vises til ressurser for hvordan de samme selskapene kan løse disse utfordringene. Dette innebærer blant annet å distribuere den samme informasjonen til enhver relevant tredjepartsleverandør som selger produkter eller tjenester som kan være sårbare.

Selv om denne typer saker ofte gir bøter, «foreligger det likevel forhold som tilsier at irettesettelse er
passende reaksjon», heter det i vedtaket som er signert av direktøren i tilsynet, Line Coll.
Les også

Trodde ikke GDPR gjaldt i Norge. Får smekk av Datatilsynet

Fortsatt mange angrepsforsøk

Selv om sikkerhetsoppdateringen som fjernet den første av de aktuelle Log4j-sårbarhetene, kalt Log4Shell, kom for snart en måned siden, meldte Microsoft Threat Intelligence Center tidligere denne uken at trusselaktører fortsatt har høy aktivitet i skanningen og forsøkene på å utnytte denne og andre Log4j-sårbarheter. Blant annet har lagt angrepskode for utnyttelse av disse sårbarhetene til i sine eksisterende skadevaresett, som brukes til alt fra kryptokapring til tastaturavlytting.

Slik innsats ville ikke ha blitt gjort dersom ikke trusselaktørene mener at det vil gi gevinst, altså at det er mange sårbare systemer der ute. Microsoft advarer fortsatt om at mange virksomheter trolig ikke innser at deres systemer kan være sårbare.

Blogginnlegget til Microsoft inneholder mye informasjon om kjent utnyttelse av Log4j-sårbarhetene og om hvordan selskapets egne sikkerhetsprodukter kan brukes til å finne sårbare applikasjoner og utbedre sikkerheten.

Kinesiske rutere bør forbys, mener to kongressmedlemmer i USA. Ruteren på bildet har ikke noe med saken å gjøre.
Les også

Amerikanske politikere krever forbud mot kinesiske rutere

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
4 fordeler med å bruke Tekjobb til rekruttering
Les mer
4 fordeler med å bruke Tekjobb til rekruttering
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra