Sollicity update: voorbereid en veilig
1. SNELLE ACTIE
Zaterdagavond kwam om half twaalf bij Sollicity een algemene beveiligingsmelding binnen met hoge prioriteit. Sinds 2007 is dit niet voorgekomen. We zijn daarom direct in actie gekomen.
2. EERSTE MAATREGEL
De melding die we ontvingen was van algemene aard. Er was geen reden om aan te nemen dat de dreiging van invloed kon zijn op de diensten van Sollicity. Toch besloten we om uit voorzorg al onze diensten direct stil te leggen. Het weekend valt buiten ons service window. Dit maakte het mogelijk om deze maatregel te nemen.
3. ONDERZOEK
Zondag hebben we onderzocht of de programmatuur van Sollicity gebruik maakt van het programma “log4j”. Dit is het programma dat kwetsbaar is voor log4Shell. Dit is niet het geval.
4. OP TIJD WEER ONLINE
Nadat duidelijk was geworden dat de kwetsbaarheid niet van toepassing is op de programmatuur van Sollicity hebben we na intern overleg kunnen besluiten om onze diensten op maandagochtend voor aanvang van het service window weer online te brengen. Gezien de aard van het risico is verdere actie vanuit Sollicity niet nodig.
5. KETENPARTNERS
Sollicity ontwikkelt software. Deze software draait op hardware. Deze hardware kent een unieke opstelling en staat onder beheer van Radboud University. Sollicity heeft bericht ontvangen dat er geen kwetsbaarheden zijn geconstateerd die betrekking hebben op de dienstverlening van Sollicity. Als uit nader onderzoek naar de ketenpartners alsnog kwetsbaarheden naar voren komen dan zal Sollicity dit binnen de gebruikelijke veiligheidsprocedures oplossen en communiceren.
6. VOORBEREID
Sollicity investeert veel in veiligheid. Onze programmatuur, onze processen en onze dienstverlening worden continu gemonitord. Elke week vindt een zogenaamde pen-test plaats. Elke drie maanden voeren wij een security overleg met externe auditors. Onze hardware opstelling maakt gebruik van een dedicated hardware firewall die in beheer is bij Radboud University. Soms vragen we ons af of we daarin niet een beetje doorschieten. Maar op momenten zoals deze begrijpen we waar we het voor doen: als er iets gebeurt dan zijn we voorbereid.
7. VEILIG
Log4j vormt een grote bedreiging voor veel bedrijven. De impact zal de komende tijd bekend worden. IT-organisaties werken dag en nacht door om, zogezegd, de sluizen te dichten. Voor de diensten van Sollicity hoeven zij geen actie te ondernemen.
8. KUN JIJ IETS DOEN?
Ja! Veel van onze collega-IT’ers over de hele wereld zijn hard aan het werk om ons allemaal veilig te houden. We vragen aan iedereen om daar rekening mee te houden. Geef ze voorrang bij de lift. Haal koffie voor ze.