Nederlandse multinationals nog steeds kwetsbaar voor Heartbleed-bug

Het is slecht gesteld met de wijze waarop Nederlandse multinationals omspringen met de Heartbleed-bug. Van de 22 Nederlandse bedrijven uit de Forbes top 2000 met multinationals blijken 15 partijen nog steeds kwetsbaar voor het inmiddels een jaar oude probleem.

Dit blijkt uit onderzoek van beveiligingsbedrijf Venafi. De Heartbleed-bug werd vorig jaar ontdekt en is een ernstige kwetsbaarheid in OpenSSL, een open source implementatie van SSL. Een enorme hoeveelheid servers bleek kwetsbaar voor de bug, waaronder ook veel servers van bedrijven.

Encryptiesleutels en certificaten vervangen

De bug kan worden verholpen door meerdere stappen te doorlopen. Allereerst moet een patch worden geïnstalleerd die de fout in OpenSSL verhelpt. Dit is echter niet voldoende om het probleem volledig te verhelpen. De tweede bestaat uit het vervangen van encryptiesleutels en certificaten op alle getroffen systemen. Deze tweede stap blijkt in de praktijk door veel bedrijven te worden overgeslagen.

Als we naar alle multinationals in de top 2000 van Forbes kijken ontstaat een vergelijkbaar beeld. Servers van 85% van de multinationals blijken nog steeds kwetsbaar te zijn voor de Heartbleed-bug. Venafi roept bedrijven dan ook op alle stappen te doorlopen om het probleem volledig te verhelpen. Heel hoopvol is het bedrijf overigens niet. Venafi neemt het probleem volgend jaar opnieuw onder de loep, maar verwacht geen grote verbetering te zien doordat bedrijven geen duidelijk beleid hebben voor het vervangen van certificaten en encryptiesleutels.