De Amerikaanse consument- en marktautoriteit Federal Trade Commission (FTC) dreigt met boetes van honderden miljoenen voor organisaties die Log4j te laat of niet patchen.

Op 9 december maakte het cloud-securityteam van Alibaba een kwetsbaarheid in Log4j bekend. De razendpopulaire Java library komt in een gigantische hoeveelheid bedrijfsomgevingen voor. De aanvankelijke kwetsbaarheid stelde kwaadwillenden in staat om servers te bereiken met instructies voor de uitvoering van malware. Een week later was de kwetsbaarheid honderdduizenden keren benut.

Wereldwijde aandacht voor het probleem leidde tot de vondst van nieuwe kwetsbaarheden. De ontwikkelaar van Log4j beantwoordt elke vondst met een patch. Softwareontwikkelaars die Log4j in hun product gebruiken dragen verantwoordelijkheid voor het verwerken van de patches. Elke organisatie draagt verantwoordelijkheid voor het weren van aanvallers.

Waarschuwing van de FTC

In een nieuwe openbare brief richt de FTC zich tot softwareontwikkelaars. De Amerikaanse consument- en marktautoriteit schrijft dat kwetsbaarheden in Log4j nog altijd worden misbruikt. Het aantal aanvallers zou groeien. Daarbij benadrukt de FTC dat Amerikaanse softwareontwikkelaars een wettelijke verplichting hebben om bekende softwarekwetsbaarheden te verhelpen.

Doet een ontwikkelaar dit niet, dan belooft de FTC dezelfde behandeling die Equifax in 2019 ontving. De financiële dienstverlener maakte zich schuldig aan een inadequate reactie op een softwarekwetsbaarheid. Persoonsgegevens van 147 miljoen consumenten belandden op straat. Equifax werd gestraft met een dwangsom van 700 miljoen dollar. De wetten die tot de bekeuring leidden zijn van toepassing op kwetsbaarheden die voortkomen uit Log4j. Verliest een Amerikaanse organisatie gegevens door Log4j, dan hangt er een torenhoge boete boven het hoofd.

De FTC biedt een stappenplan om aansprakelijkheid te verminderen. Softwareontwikkelaars worden opgedragen om Log4j altijd naar de meest recente versie te updaten. Daarnaast verwijst de FTC naar een CISA-handleiding met de opdracht om zoveel mogelijk aanvullende maatregelen te treffen.

Nederlandse boetes voor Log4j

De FTC heeft nog geen klappen uitgedeeld. Toch zet het noodlot van Equifax daadkracht achter de boodschap. Koppen kunnen rollen. In Nederland en Europa ligt het anders.

De ‘Network and Information Security Directive’ (NIS) adviseert organisaties in Europese lidstaten om maatregelen tegen digitale inbraak te treffen. Niemand is daarentegen verplicht om maatregelen te treffen. Het oprapen van de stukjes na een datalek is schadelijk, maar overheidsboetes ontbreken.

Daar komt echter wel verandering in. Eind 2021 keurde de Europese Commissie een vernieuwing van de NIS goed. Momenteel onderhandelen lidstaten over een voorstel om Europese organisaties met twee procent van de jaaromzet te bekeuren voor nalatige cyberbeveiliging. Details kunnen veranderen, maar de richtlijn komt eraan.