Kristof Van der Stadt
“Wat WannaCry ons leert? Dat we het maar niet leren.”
De massale uitbraak van de WannaCry-ransomware had perfect kunnen vermeden worden. Maar blijkbaar leren we het maar niet. Hoeveel aanvallen zijn er nog nodig?
MS17-010. Dat is de patch die Microsoft twee maand geleden beschikbaar stelde om een kritieke kwetsbaarheid in Windows op te lossen. Het installeren van die update is voldoende om er voor te zorgen dat je computer niét getroffen kan worden door de WannaCry-ransomware, ook wel Wanna Decryptor genoemd. Dat duizenden computers het afgelopen weekend in no-time toch besmet raakten, bewijst dat al die computers in ieder geval niet bijgewerkt werden.
Het is een oud zeer in de it-industrie: systemen en software zijn maar zo veilig als de nieuwste security update hen maakt. Nu kan je daarover discussiëren en een pleidooi houden voor veilige software ‘by design’ – en daar heb je met mij zeker een medestander – maar de realiteit is nu eenmaal dat veruit de meeste software veiligheidsproblemen heeft. En dat weten we – zeker als het over software uit het Microsoft-ecosysteem gaat. Je kan met een beschuldigende vinger richting Microsoft wijzen, maar de schaalgrootte biedt wel verzachtende omstandigheden: hoe meer een stukje software gebruikt wordt, hoe meer zin het heeft voor kwaadwilligen om net in die software met een vergrootglas naar bugs te zoeken die ze kunnen uitbuiten.
Uiteindelijk is dit een weinig relevante discussie. De echte discussie moet gaan over de verantwoordelijkheid van het bijwerken van de software. Eigenlijk moet je Microsoft dáár dan weer goede punten geven. Consumenten krijgen security updates in de meest recente Windows-versies alvast verplicht opgelegd. Ja, ik foeter daar ook wel eens op – die updates lijken altijd wel op de meest ongeschikte momenten binnen te rollen – maar het zorgde er wel voor dat de Windows-machine waarop ik dit tik niét getroffen kon worden door deze ransomware.
Wat WannaCry ons leert? Dat we het maar niet leren.
Bij bedrijven gebeuren die updates in heel wat gevallen niet automatisch – omdat de it-afdeling zelf de controle wil houden over de software op de pc-vloot. Begrijpelijk, maar dan moet die it-afdeling dat ook dóen. Als pc’s na twee maand nog niet bijgewerkt werden met kritieke security-updates, dan is er een probleem. Dat is wat WannaCry ons leert. Alleen: dat is ook wat eerdere uitbraken als die van Slammer of Conficker ons eigenlijk ook al leerden. Blijkbaar willen we het dus maar niet leren?
Heel wat besmettingen zijn voor rekening van Windows XP: het besturingssysteem dat Microsoft lanceerde op 25 oktober 2001. Microsoft verlengde de technische ondersteuning een aantal keer, maar sinds 12 januari 2016 is het helemaal gedaan. Windows XP-machines nu nog aan internet koppelen, is dus om problemen vragen en is ronduit onverantwoord. Dat weet iedereen in de it-sector, maar we willen het blijkbaar niet leren. Omdat het allemaal wel goed werkt. Omdat er geen budget is voor nieuwe software of apparatuur. Of omdat de organisaties er gewoonweg niet van wakker liggen?
Als ik lees dat hartoperaties dit weekend uitgesteld werden omdat de patiëntendossiers niet meer toegankelijk waren, dan slaat mijn hart een tel over.
Security is een gedeelde verantwoordelijkheid. De leverancier heeft de verplichting om zo veilig mogelijke software af te leveren en indien nodig ook bij te werken. Maar de afnemer moet ook inzien dat die updates noodzakelijk zijn. Levensnoodzakelijk, zou ik bijna durven zeggen. Als ik lees dat hartoperaties dit weekend uitgesteld werden omdat de patiëntendossiers niet meer toegankelijk waren, dan slaat mijn hart een tel over. Beseffen we wel hoé erg dit eigenlijk is? Dat patiënten niet geholpen worden omdat het ziekenhuis bewust met verouderde software blijft werken?
Security heeft helaas een prijs. Maar nog steeds weigeren heel wat bedrijven en organisaties die prijs te betalen. Om het met een droeve boutade te zeggen: moeten er eerst doden vallen?
Fout opgemerkt of meer nieuws? Meld het hier