Er is geen reden om op zoek te gaan naar een alternatief voor Log4j. Een alternatief is niet per se veiliger en het vervangen van dit soort software is daarnaast zeer complex en daarmee een niet-realistische oplossing, zo stellen ministers Yesilgöz van Justitie en Veiligheid en Adriaansens van Economische Zaken. De bewindslieden reageerden op Kamervragen van de VVD. Naar aanleiding van de Log4j-kwetsbaarheid vroeg VVD-Kamerlid Rajkowski of er betere alternatieven voor de loggingsoftware beschikbaar zijn.

"In geval van risico’s vanwege kwetsbaarheden, zoals die betreffende Log4j, is het van belang dat patches worden uitgevoerd of aanpassingen worden gedaan. Alle software kan kwetsbaarheden bevatten, zo ook Apache Log4j. De kwetsbaarheden in Log4j zijn snel opgelost: er is geen reden om op zoek te gaan naar een alternatief en een alternatief is niet per se veiliger", aldus de ministers. Die voegen toe dat het vervangen van dit soort software daarnaast zeer complex is en daarmee geen realistische oplossing.

Nog geen aangiften bij politie

Rajkowski wilde ook weten of er Nederlandse organisaties via de kwetsbaarheid zijn aangevallen. Daarop stellen Yesilgöz en Adriaansens dat de politie tot op heden geen aangiften heeft binnengekregen van aanvallen met betrekking tot het Log4j-lek. Ook zijn erop dit moment geen signalen dat overheidsorganisaties via de kwetsbaarheid succesvol zijn aangevallen.

Het Nationaal Cyber Security Centrum (NCSC) is wel bekend met kleinschalig misbruik van de kwetsbaarheid bij organisaties in Nederland. Het doel van de aanvallen is veelal financieel gewin. "Verwacht wordt dat kwaadwillenden de komende tijd naar kwetsbare systemen blijven zoeken en doelgerichte aanvallen uitvoeren; de Log4j-kwetsbaarheid wordt mogelijk een standaardonderdeel van aanvalsmethoden van actoren om toegang te krijgen tot systemen", leggen de bewindslieden verder uit.