HIS-sen, als kerstbomen met veel ballen, kwetsbaar voor Log4j-hackers

HIS-senOp 23 december 2021 stuurde de Landelijke Huisartsen Vereniging(LHV) een email naar haar leden met een waarschuwing over de Apache-Log4j-kwetsbaarheid. Deze kwetsbaarheid houdt wereldwijd de gemoederen bezig sinds de publicaties erover vanaf 9 december. Ik publiceerde op dit medium hierover ook een artikel op 19 december 2021 toen bleek dat minimaal één huisartsinformatiesysteem(HIS) kwetsbaar bleek te zijn voor hackers vanwege dit lek. Toen sprak ik ook al het sterke vermoeden uit dat dit probleem ook bij andere HIS-sen zou kunnen spelen. De LHV waarschuwt huisartsen niet alleen om hun ICT-dienstverlener/beheerder alle systemen, netwerkcomponenten en hardware in de praktijk te doen scannen op de aanwezigheid van Apache Log4j. Tevens vraagt de LHV haar leden om te laten onderzoeken of er geen tekenen zijn dat hackers de systemen niet al misbruikt hebben. Daar gaat het in essentie om: opsporen of er kwetsbaarheden aanwezig zijn EN of er al hackers binnendrongen.

Kerstboom met veel ballen  

HIS-sen waren aanvankelijk, in de jaren negentig van de vorige eeuw stand-alone systemen zonder koppelingen met de buitenwereld. Het was als het ware een kerstboom zonder ballen. In de loop der jaren is de connectiviteit van HIS-sen enorm toegenomen. Een beetje modern HIS heeft veel elektronische koppelingen met de buitenwereld. Koppelingen met de ICT-leverancier, met het Landelijk SchakelPunt, met het beslisondersteunende systeem NHGDoc, met lokale of regionale platformen voor multidisciplinaire zorgverlening, met ketenzorgsystemen etc.  HIS-sen transformeerden zo tot kerstbomen met heel veel ballen erin. Zeer problematisch met de Log4j-software is dat het niet altijd duidelijk is in welke componenten van welke leverancier dat allemaal verwerkt zit. Voor een huisarts-praktijkhouder is het onmogelijk om de aan- of afwezigheid van Log4j-software vast te stellen. Ook voor IT-mensen vormt dat in een aantal gevallen een probleem, omdat deze software soms verwerkt zit in softwarepakketten van grote tech-firma’s.

Log4j

Deze software heeft als doel om digitale activiteiten te loggen. Het is JAVA-software. De afkorting zegt het al: Log4 j betekent namelijk Log for JAVA. Dat JAVA  is een is een objectgeoriënteerde programmeertaal en tevens een platformonafhankelijke taal. Daarom gebruikt men het wereldwijd ook zo vaak. Overigens is het wel aardig om te weten dat de naam die men er aan gaf een aparte achtergrond heeft. De programmeurs, die de vraag kregen hoe hun product zou moeten heten, kwamen niet op een spannende afkorting of een acroniem. Ze noemden het uiteindelijk naar de drank die ze bij liters onder het programmeren dronken: koffie. Een synoniem voor koffie in Angelsaksische landen is vaak Java. Kijk trouwens ook eens goed op uw PC of laptop als een melding komt dat een JAVA-update klaar staat. Het logo is een dampende kop koffie.

Hulp aan diverse kanten

Aan diverse kanten waarschuwen overheid en andere partijen voor de kwetsbaarheid en wijzen op oplossingen en oplossingsrichtingen.  Naast het Nationaal CyberSecurity Center(NCSC), is er Z-Cert, het expertisecentrum voor cybersecurity in de zorg, maar ook het Digital Trust Center van het ministerie van Economische zaken en Klimaat(EZK). De laatste instelling zette men op voor het veilig digitaal ondernemen. Op de website van deze drie organisaties staat zinvolle informatie voor IT-professionals. Het Digital Trust Center publiceerde op 15 december een uitgebreide FAQ-webpagina met een update op 24 december en een verslag van een webinar voor IT-professionals over Log4j.

Weest  waakzaam

De belangrijkste boodschap die uitgaat van de LHV is dat huisartsen IT-professionals inschakelen om te onderzoeken of ergens in of aan hun systeem Log4j-software aanwezig is. En er dan voor te zorgen dat de meest recente Log4j update(nu versie2.17) geïnstalleerd wordt. Zelf zien of ergens in of aan het systeem software gekoppeld zit die kwaad kan is bijkans onmogelijk. Niet alleen medische software op een netwerk in een huisartspraktijk vormt een potentieel risico, maar ook software voor administratieve doeleinden of andere doeleinden dient men bij het onderzoek te betrekken.

Overigens is het zeer opvallend dat op de website van de Vereniging Praktijkhoudende Huisartsen geen enkele verwijzing naar de Log4j-problematiek te vinden is,

W.J. Jongejan, 28 december 2021

Afbeelding van Pexels via Pixabay, bewerkt door WJJ