-

De Panama Papers: waarom up-to-date blijven noodzakelijk is

Enkele dagen geleden kopten de kranten over het datalek bij het juridische advieskantoor Mossack Fonseca in Panama. De gelekte gegevens leggen bloot hoe rijken, beroemdheden en wereldleiders miljarden wegsluizen via Panama. Deze Panama Papers (compleet met eigen merknaam en logo) is met 11 miljoen documenten en 2.37 terabyte aan gelekte data een overtreffende trap van Wikileaks (1.7 gigabyte) enkele jaren geleden. 

Forbes merkte op dat een zeer oude versie van Drupal één van de voornaamste oorzaken zou zijn van het lek. Het online portal waarvan klanten gebruik maken om gevoelige data in te raadplegen draait op een versie waarin een aantal zeer kritieke gaten zitten. Ook het Microsoft Outlook mailplatform van Mossack Fonseca mist zes jaar aan updates. Hiermee vallen de excuses van het kantoor voor het lek door de mand. Evenals de wanhopige pogingen van ‘getroffenen’ om hun naam te zuiveren. Dat is transparantie. Transparantie is goed.

Panama Papers Twitter

Een advocatenkantoor in een tropisch belastingparadijs dat miljarden aan belasting wegsluist voor rijke elite is natuurlijk een onthulling die zijn weerga niet kent. De kwestie van een bedrijf dat zijn ICT-zaakjes niet op orde heeft, staat in de schaduw van de financiële praktijken van de Panama Leaks. Waarbij de gevolgen momenteel vooral het vuur aan de schenen legt van de rijksten en minister-presidenten, voelen wij ons geroepen te verklaren welke rol open source en Drupal hierin spelen.

Open source kent geen fabrikant

Open source is een concept waarbij het recept van legoblokjes publiek domein is geworden. Daarmee kunnen bestaande blokjes beter worden gemaakt en tal van nieuwe functionaliteiten worden gedeeld die waarde toevoegen andere bedrijven, zonder dat daar steeds opnieuw voor betaald hoeft te worden. Een voorbeeld hiervan is Drupal voor Gemeenten (DvG), een kant-en-klare bouwdoos met alles wat een gemeentewebsite nodig heeft. Gemeente Venlo en nog eens 15 andere gemeenten maken hier intussen gebruik van.

Clipboard01

Bij software leveranciers als Microsoft en Digitnotar wijzen in geval van problemen de vingers naar een leverancier. Bij open source is dit anders, omdat het verbeteren en dichten van zwakke plekken toekomt aan een groep mensen die dit doen vanuit een intrinsieke motivatie voor ‘hun’ ding. Heine Deelstra is zo iemand. Door zijn rol in het Drupal security team speelt hij een grote rol in de manier waarop LimoenGroen omgaat met security en creëert hij extra awareness bij klanten. Als security professional heeft Heine zich te houden aan protocol waarbij niets naar buiten zal worden gebracht vóór de officiële aankondiging vanuit Drupal zelf. Dit geldt ook voor bedrijven als LimoenGroen. Maar we zitten wel heel dicht op de veiligheid van Drupal. Zodra er een bekendmaking is, komen wij in actie.

Het grootste Drupal-lek ooit mogelijk de oorzaak

Het lek in Drupal dat in 2014 aan het licht kwam, was wellicht één van de grootste in de ruim tien jaar dat Drupal bestaat. Via Drupal.org werd de waarschuwing gedaan dat het lek als zeer kritisch werd beschouwd en dat websites die in een kwestie van uren niet werden geüpdatet als gehacked moesten worden beschouwd. Na de officiële aankondiging gebruikten wij die uren om al onze klanten van de juiste update te voorzien. In dit geval zelfs vooruitlopend op een contractvorm of betaling. De gevolgen voor een mogelijk lek voor onze klanten zijn wat ons betreft net zo belangrijk (zo niet belangrijker). De versie waarop het portaal van Mossack Fonseca draait dateert mogelijk van nog ver voor dit Drupalgeddon lek.

Support op Drupal is mensenwerk

Drupal is gemeengoed. Eén op de 40 websites die je dagelijks bezoekt maakt gebruik van Drupal. Juist omdat Drupal een veelgebruikt platform is, is de veronderstelling dat het altijd veilig is een gevaarlijke. De Panama Leaks is een schoolvoorbeeld van security wanbeleid. Hiermee wordt het belang van investeren in goed beleid op updates en beheer nog maar eens benadrukt. Het gegeven van geen licentiekosten en tienduizenden ontwikkelaars maakt onderhoud niet minder belangrijk. Noch goedkoper: updaten blijft mensenwerk en je hebt professionals nodig die je hierin bijstaan. We doen dit beroep ook in ons eigen belang: een website die op deze wijze in de belangstelling staat en te grabbel wordt gegooid veroorzaakt ook schade aan het Drupal project.

Wanneer je als bedrijf of gebruiker van Drupal niet zelf in staat bent om updates te doen: zoek hulp en schakel een professionele organisatie in. Van degelijke betaalbare verdiensten tot enterprise support, alles is goed verkrijgbaar. Uw gebruikers en klanten verwachten dit. Sinds 1 januari is met de nieuwe wet rond de meldplicht van datalekken het belang in Nederland stevig onderkend.

*) Dit artikel is tevens gepubliceerd op de website van Limoengroen.

Deel dit bericht

2 Reacties

Paul Haarman

Goed Imre, om deze andere kant van de Panama Papers te belichten. Je bent en blijft toch afhankelijk van de kwaliteit van je security professional. Vaak is er geen specifieke functionaris daarvoor en is “iemand van ICT” daarvoor verantwoordelijk. Ook geen makkelijke taak dunkt mij. Maar dit voorbeeld laat zien dat de gevolgen desastreus kunnen zijn (voor de betrokkenen dan, anderen smullen ervan natuurlijk).

Imre Gmelig Meijling

Dank Paul, blijft een gegeven dat een ‘insider’ hier betrokken is. Dan nog de vraag of hij van binnen uit bezig is geweest of een zwakke plek in de beveiliging heeft gebruikt. Los daarvan, is het achterhaalde toestand bij het kantoor daar.

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond