Windows XP, het veiligste besturingssysteem ooit gebouwd?

De perceptie dat Windows XP het beste en veiligste besturingssysteem is dat Microsoft ooit heeft ontwikkeld, leeft al jaren. Dat heeft veel te maken met de fameuze Trustworthy Computing (TwC) memo die Bill Gates veertien jaar geleden intern naar al zijn medewerkers stuurde. Alle productteams werden opgedragen om alles op alles te zetten opdat het platform veiliger zou worden. Dat was toen, in 2002. En hier wringt het schoentje: intussen zijn we 2016.

Net omdat Windows XP zo’n stabiel systeem was, werd het ingebouwd in zowat alles dat enige vorm van besturing vereiste, gaande van Röntgenapparaten in ziekenhuizen tot Command & Control stations bij militaire operaties. De opvolger van Windows XP was commercieel niet het beste product. Op vlak van security was er op Windows Vista niets aan te merken, maar een klant wil uiteraard ook functionaliteit. Toch kan ik met gemak de titel van dit opiniestuk vervangen door: ‘Windows 7, het veiligste besturingssysteem ooit gebouwd’?

Het verschil in de perceptie over de twee besturingssystemen heeft alles te maken met het tijdskader. Toen Windows XP werd gelanceerd, had Edward Snowden net zijn achttiende verjaardag gevierd. Toen Windows 7 op de markt kwam, was een “state-sponsored cyberattack” al voer geworden voor James Bond films. Vandaag weten we dat beide voorbeelden een grote impact op de wereld hebben.

Ieder bedrijf die een ICT-omgeving opzet, doet dat als een goede huisvader door rekening te houden met de dan geldende veiligheidsregels. Spijtig genoeg zijn er een pak minder bedrijven die beseffen dat veiligheidsregels snel evolueren in de tijd. Los van Microsoft, bouwen de meeste softwareleveranciers een product dat voldoet aan alle veiligheidsvoorschriften, van dat moment.

Voor veel bedrijven is de evolutie van hun ICT-infrastructuur een vrij intensieve taak. Dus logischerwijs: als ze een bepaalde versie geïnstalleerd hebben, willen ze die dan zo lang mogelijk houden. Laten we als voorbeeld Windows 7 nemen, uitgebracht in 2009, het platform waar de meeste bedrijven vandaag op draaien. Het concept Bring your Own Device (BYOD) was velen nog onbekend. Eenmaal de hype zich voordeed op de werkvloer, installeerden velen bedrijven kleine softwarepakketjes bovenop hun besturingssysteem, om nieuwe veiligheidsdreigingen af te wenden of om de extra functionaliteit te ondersteunen.

De uitdaging is net dat hoe meer er van die pakketjes worden geïnstalleerd bovenop het basisplatform, hoe moeilijker het wordt om te migreren naar een nieuwer systeem. Dus hoe meer je besturingssysteem verouderd geraakt, hoe meer extra beveiligingssoftware je nodig hebt. Een vicieuze cirkel waar je snel in verstrikt raakt. Toen Microsoft in 2012 het idee opperde om nooit meer een volledige versie te lanceren, maar iedere keer kleine onderdelen was dit mede om hieraan te voldoen. Windows 8 was gestoeld op dit model, maar behaalde niet het verhoopte succes. In Windows 10 hebben we dit iets genuanceerder aangepakt.

Als IT-manager dringt de vraag zich op of een constante evolutie niet veiliger en goedkoper is dan een model waarbij er om de vijf jaar een “big bang” uitrol is. Als veiligheidsexpert kan ik de constante evolutie alleen maar toejuichen. Hoedanook, het laatste woord is hier nog niet over gezegd.