Abonner
Log4j

USA vil straffe virksomheter som ikke gjør nok for å sikre Log4j

Handelskommisjonen trekker fram et skrekkeksempel på hvordan det kan ende.

Amerikanske Federal Trade Commision legger ikke fingrene imellom når den nå advarer virksomheter mot ikke å ta Log4j-sårbarhetene alvorlig nok.
Amerikanske Federal Trade Commision legger ikke fingrene imellom når den nå advarer virksomheter mot ikke å ta Log4j-sårbarhetene alvorlig nok. Foto: Pexels
Harald BrombachHarald Brombach– Journalist
6. jan. 2022 - 16:00

Den amerikanske handelskommisjonen, FTC, vil ha fortgang i amerikanske virksomheters arbeid med å fjerne sårbare versjoner av det Java-baserte loggbiblioteket Log4j.

Til skrekk og advarsel

I et blogginnlegg vises det til hva som skjedde med det amerikanske kredittvurderingsselskapet Equifax etter at selskapet hadde unnlatt å fjerne kjente sårbarheter, noe som førte til at persondata om 147 millioner forbrukere ble eksponert for uvedkommende.

Equifax inngikk i ettertid et forlik med blant annet FTC hvor førstnevnte måtte betale en bot på 700 millioner dollar.

Tilsvarende vil også kunne skje dersom amerikanske persondata kommer på avveie fra virksomheter som ikke har oppfylt forpliktelsene om å ta rimelige tiltak for å redusere faren ved kjente sårbarheter, noe som i blant annet USA er lovfestet. I Norge kan Datatilsynet tilsvarende utstede overtredelsesgebyr med utgangspunkt i den GDPR-baserte personvernlovgivningen.

– FTC har til hensikt å bruke hele sin juridiske autoritet til å forfølge selskaper som ikke går til rimelige skritt for å beskytte forbrukerdata mot eksponering som et resultat av Log4j, eller tilsvarende sårbarheter i framtiden, skriver FTC, før det vises til ressurser for hvordan de samme selskapene kan løse disse utfordringene. Dette innebærer blant annet å distribuere den samme informasjonen til enhver relevant tredjepartsleverandør som selger produkter eller tjenester som kan være sårbare.

Kunder over hele verden kan være berørt av datainnbruddet bilutleiefirmaet Hertz opplevde høsten 2024. Bildet er fra ett av Hertz' utleiesteder ved John F. Kennedy-flyplassen i New York City.
Les også:

Bilutleiefirma rammet av omfattende datainnbrudd

Fortsatt mange angrepsforsøk

Selv om sikkerhetsoppdateringen som fjernet den første av de aktuelle Log4j-sårbarhetene, kalt Log4Shell, kom for snart en måned siden, meldte Microsoft Threat Intelligence Center tidligere denne uken at trusselaktører fortsatt har høy aktivitet i skanningen og forsøkene på å utnytte denne og andre Log4j-sårbarheter. Blant annet har lagt angrepskode for utnyttelse av disse sårbarhetene til i sine eksisterende skadevaresett, som brukes til alt fra kryptokapring til tastaturavlytting.

Slik innsats ville ikke ha blitt gjort dersom ikke trusselaktørene mener at det vil gi gevinst, altså at det er mange sårbare systemer der ute. Microsoft advarer fortsatt om at mange virksomheter trolig ikke innser at deres systemer kan være sårbare.

Blogginnlegget til Microsoft inneholder mye informasjon om kjent utnyttelse av Log4j-sårbarhetene og om hvordan selskapets egne sikkerhetsprodukter kan brukes til å finne sårbare applikasjoner og utbedre sikkerheten.

Artikkelen fortsetter etter annonsen
annonsørinnhold
Columbus
Endrer arbeidsflyt og forretningsmodeller: Ny teknologi gir raskere resultater
Microsofts president, Brad Smith, kom med et tydelig budskap til sitt europeiske publikum under en hovedtale i Brussel onsdag.
Les også:

Microsoft lover tyngre satsing på Europas skymarked

ftcLog4jSikkerhet
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Se flere jobber
Fra usikker student til ombruksrådgiver i bærekraftig byggebransje!
Les mer
Fra usikker student til ombruksrådgiver i bærekraftig byggebransje!
Brann- og redningsskolen
Rådgiver Microsoft 365
SECURE-NOK TECHNOLOGY AS
Senior sikkerhetskonsulent
Etterretningstjenesten
Dataanalytiker
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra