Belgische overheid stelpt Heartbleed

11/04/14 om 11:50 - Bijgewerkt om 11:50

Bron: Datanews

Zowel CERT.BE als Fedict hebben meteen na het bekend raken van Heartbleed stappen ondernomen om het gevaar ervan in te schatten en het indien nodig aan te pakken.

Belgische overheid stelpt Heartbleed

Zowel de CERT.BE (het Computer Emergency Response Team dat resorteert onder Belnet) als de federale overheidsdienst rond ict, Fedict, hebben na het bekend raken van de 'Heartbleed' bug stappen ondernomen om het gevaar ervan in te schatten en het indien nodig aan te pakken..

"CERT.BE heeft meteen zijn coördinerende rol opgenomen," stelt Jeroen Gobin, "en heeft zijn contacten bij de Belgische overheid en in privésectoren geïnformeerd." Naast overheidsinstellingen, betreft dat tevens een aantal sectorgerelateerde organisaties (zoals Febelfin, voor de bancaire wereld), een aantal nutsbedrijven en dies meer. Ook alle Belnet klanten (zoals onderwijsinstellingen) werden op de hoogte gebracht. De betrokken bedrijven en instellingen konden dan hun eigen analyses maken, inzake het risico naar hun klanten en gebruikers, waarbij CERT.BE wel "hulp kan bieden voor de verdere opvolging." Overigens ontving CERT.BE wel vragen rond Heartbleed, maar geen meldingen van incidenten of lekken.

Crisisteam bij Fedict

Bij Fedict werd bij het bekend raken van Heartbleed meteen "een crisisteam opgericht, over de verschillende disciplines heen," aldus CTO Peter Strickx. Er werd een centraal geleid plan van aanpak opgesteld, en "alle ict-managers van overheidsinstellingen werden verwittigd." Ze kregen onder meer een 'ja/nee' vragenlijst aan de hand waarvan ze hun beslissingsproces konden stroomlijnen.

Tevens werden de eigen systemen die de dienstverlening van Fedict ondersteunen, geanalyseerd. "De impact van Heartbleed bleek vrij beperkt," aldus Peter Strickx. Een hele reeks implementaties maakten gebruik van een OpenSSL versie die het probleem niet had, terwijl de aangewende 'appliances' na navraag evenmin waren geïmpacteerd. Alle getroffen systemen werden vervolgens aangepast, de nodige certificaten werden vervangen en tegen dinsdag waren "alle systemen van Fedict gepatcht." Vervolgens werd er gericht gecommuniceerd naar de klanten van de specifieke Fedict-diensten, zoals id & access management, service bus en dies meer.

Crisiscommunicatie?

Voor een lek dat als één van de belangrijkste internetproblemen ooit wordt omschreven, lijkt de crisiscommunicatie vrij lauw. Hoewel Heartbleed potentieel het vertrouwen in de handel via webshops etc kan schaden, wordt het al dan niet communiceren over mogelijke problemen gewoon aan de 'good will' van de betrokken shop, bank, instelling etc overgelaten.

Zowel CERT.BE als Fedict zijn bereid hun klanten hierbij van dienst te zijn, maar uitdrukkelijk wordt het initiatief aan hen gelaten. Ook al omdat zij uiteindelijk hiervoor verantwoordelijk zijn. Bij Fedict wordt wel geëvalueerd wat de mogelijke schade was, en de noodzaak aan een brede communicatie. Peter Strickx benadrukt overigens het voordeel van 'open source'-ontwikkeling, omdat onmiddellijk na het ontdekken van de programmeerfout, hierover breed werd gecommuniceerd, en binnen de 24 uur het probleem in de code was hersteld.

Lees meer over:

Onze partners