Den amerikanske handelskommisjonen, FTC, vil ha fortgang i amerikanske virksomheters arbeid med å fjerne sårbare versjoner av det Java-baserte loggbiblioteket Log4j.
Til skrekk og advarsel
I et blogginnlegg vises det til hva som skjedde med det amerikanske kredittvurderingsselskapet Equifax etter at selskapet hadde unnlatt å fjerne kjente sårbarheter, noe som førte til at persondata om 147 millioner forbrukere ble eksponert for uvedkommende.
Equifax inngikk i ettertid et forlik med blant annet FTC hvor førstnevnte måtte betale en bot på 700 millioner dollar.
Tilsvarende vil også kunne skje dersom amerikanske persondata kommer på avveie fra virksomheter som ikke har oppfylt forpliktelsene om å ta rimelige tiltak for å redusere faren ved kjente sårbarheter, noe som i blant annet USA er lovfestet. I Norge kan Datatilsynet tilsvarende utstede overtredelsesgebyr med utgangspunkt i den GDPR-baserte personvernlovgivningen.
– FTC har til hensikt å bruke hele sin juridiske autoritet til å forfølge selskaper som ikke går til rimelige skritt for å beskytte forbrukerdata mot eksponering som et resultat av Log4j, eller tilsvarende sårbarheter i framtiden, skriver FTC, før det vises til ressurser for hvordan de samme selskapene kan løse disse utfordringene. Dette innebærer blant annet å distribuere den samme informasjonen til enhver relevant tredjepartsleverandør som selger produkter eller tjenester som kan være sårbare.
Fortsatt mange angrepsforsøk
Selv om sikkerhetsoppdateringen som fjernet den første av de aktuelle Log4j-sårbarhetene, kalt Log4Shell, kom for snart en måned siden, meldte Microsoft Threat Intelligence Center tidligere denne uken at trusselaktører fortsatt har høy aktivitet i skanningen og forsøkene på å utnytte denne og andre Log4j-sårbarheter. Blant annet har lagt angrepskode for utnyttelse av disse sårbarhetene til i sine eksisterende skadevaresett, som brukes til alt fra kryptokapring til tastaturavlytting.
Slik innsats ville ikke ha blitt gjort dersom ikke trusselaktørene mener at det vil gi gevinst, altså at det er mange sårbare systemer der ute. Microsoft advarer fortsatt om at mange virksomheter trolig ikke innser at deres systemer kan være sårbare.
Blogginnlegget til Microsoft inneholder mye informasjon om kjent utnyttelse av Log4j-sårbarhetene og om hvordan selskapets egne sikkerhetsprodukter kan brukes til å finne sårbare applikasjoner og utbedre sikkerheten.
