De Panama Papers: Waarom up-to-date blijven noodzakelijk is

Blog

Enkele dagen geleden kopten de kranten over het datalek bij het juridische advieskantoor Mossack Fonseca in Panama. De gelekte gegevens leggen bloot hoe rijken, beroemdheden en wereldleiders miljarden wegsluizen via Panama. Deze Panama Papers (compleet met eigen merknaam en logo) is met 11 miljoen documenten en 2.37 terabyte aan gelekte data een overtreffende trap van Wikileaks (1.7 gigabyte) enkele jaren geleden. 

Forbes merkte op dat een zeer oude versie van Drupal één van de voornaamste oorzaken zou zijn van het lek. Het online portal waarvan klanten gebruik maken om gevoelige data in te raadplegen draait op een versie waarin een aantal zeer kritieke gaten zitten. Ook het Microsoft Outlook mailplatform van Mossack Fonseca mist 6 jaar aan updates. Hiermee vallen de excuses van het kantoor voor het lek door de mand. Evenals de wanhopige pogingen van ‘getroffenen’ om hun naam te zuiveren. Dat is transparantie. Transparantie is goed.

Panama Papers Twitter

Een advocatenkantoor in een tropisch belastingparadijs dat miljarden aan belasting wegsluist voor rijke elite is natuurlijk een onthulling die zijn weerga niet kent. De kwestie van een bedrijf dat zijn ICT zaakjes niet op orde heeft, staat in de schaduw van de financiële praktijken van de Panama Leaks. Waarbij de gevolgen momenteel vooral het vuur aan de schenen legt van de rijksten en minister-presidenten, voelen wij ons geroepen te verklaren welke rol open source en Drupal hierin spelen.

Open source kent geen fabrikant 

Open source is een concept waarbij het recept van legoblokjes publiek domein is geworden. Daarmee kunnen bestaande blokjes beter worden gemaakt en tal van nieuwe functionaliteiten worden gedeeld die waarde toevoegen andere bedrijven, zonder dat daar steeds opnieuw voor betaald hoeft te worden. Een voorbeeld hiervan is Drupal voor Gemeenten (DvG), een kant-en-klare bouwdoos met alles wat een gemeentewebsite nodig heeft. Gemeente Venlo en nog eens 15 andere gemeenten maken hier intussen gebruik van. 

Bij software leveranciers als Microsoft en Digitnotar wijzen in geval van problemen de vingers naar een leverancier. Bij open source is dit anders, omdat het verbeteren en dichten van zwakke plekken toekomt aan een groep mensen die dit doen vanuit een intrinsieke motivatie voor ‘hun’ ding. Heine Deelstra is zo iemand. Door zijn rol in het Drupal security team speelt hij een grote rol in de manier waarop LimoenGroen omgaat met security en creëert hij extra awareness bij klanten. Als security professional heeft Heine zich te houden aan protocol waarbij niets naar buiten zal worden gebracht vóór de officiële aankondiging vanuit Drupal zelf. Dit geldt ook voor bedrijven als LimoenGroen. Maar we zitten bij LimoenGroen wel heel dicht op de veiligheid van Drupal. Zodra er een bekendmaking is, komen wij in actie. 

Het grootste Drupal-lek ooit mogelijk de oorzaak

Het lek in Drupal dat in 2014 aan het licht kwam, was wellicht één van de grootste in de ruim tien jaar dat Drupal bestaat. Via Drupal.org werd de waarschuwing gedaan dat het lek als zeer kritisch werd beschouwd en dat websites die in een kwestie van uren niet werden geüpdatet als gehacked moesten worden beschouwd. Na de officiële aankondiging gebruikte LimoenGroen die uren om al haar klanten van de juiste update te voorzien. In dit geval zelfs vooruitlopend op een contractvorm of betaling. De gevolgen voor een mogelijk lek voor de klanten die LimoenGroen bedient zijn wat ons betreft net zo belangrijk (zo niet belangrijker). De versie waarop het portaal van Mossack Fonseca draait dateert mogelijk van nog ver voor dit Drupalgeddon lek, afgaande op het changelog. Dit is niet onomstotelijk, aangezien dat lek gedicht kan worden zonder dat de hele versie werd geupdate.  

Support op Drupal is mensenwerk

Drupal is gemeengoed. Eén op de 40 websites die je dagelijks bezoekt maakt gebruik van Drupal. Juist omdat Drupal een veelgebruikt platform is, is de veronderstelling dat het altijd veilig is een gevaarlijke. De Panama Leaks is een schoolvoorbeeld van security wanbeleid. Hiermee wordt het belang van investeren in goed beleid op updates en beheer nog maar eens benadrukt. Het gegeven van geen licentiekosten en tienduizenden ontwikkelaars maakt onderhoud niet minder belangrijk. Noch goedkoper: updaten blijft mensenwerk en je hebt professionals nodig die je hierin bijstaan. We doen dit beroep ook in ons eigen belang: een website die op deze wijze in de belangstelling staat en te grabbel wordt gegooid veroorzaakt ook schade aan het Drupal project. 

Wanneer je als bedrijf of gebruiker van Drupal niet zelf in staat bent om updates te doen: zoek hulp en schakel een professionele organisatie in. Van degelijke betaalbare verdiensten tot enterprise support, alles is goed verkrijgbaar. Uw gebruikers en klanten verwachten dit. Sinds 1 januari is met de nieuwe wet rond de meldplicht van datalekken het belang in Nederland stevig onderkend.

LimoenGroen is Drupal security expert

LimoenGroen voert security assessments uit voor diverse opdrachtgevers en realiseert duurzame gebruiksvriendelijke websites voor onder meer EYE Filmmuseum, Gemeente Venlo en diverse ministeries.

We vertellen graag meer over Drupal security voor uw organisatie met een goede kop koffie.
Bel ons +31 20 737 1880 of mail hallo@limoengroen.nl