Beveiliging van onze digitale infrastructuur is om te huilen
De afgelopen paar dagen gingen ziekenhuizen en parkeergarages onderuit door het computervirus WannaCry. Dat onze maatschappij zo hard geraakt wordt door zo’n virus laat zien dat we veel te weinig aandacht besteden aan de beveiliging van onze digitale infrastructuur.
Foto: Vladimir Yaitskiy
Virus legt ziekenhuizen en parkeerautomaten plat
Groot in het nieuws de laatste paar dagen: ziekenhuizen in het Verenigd Koninkrijk liggen platNieuwsbericht over door virus getroffen ziekenhuizen omdat de computersystemen besmet zijn met een virus dat alle bestanden onleesbaar maakt. Alleen na betaling van losgeld zijn de makers van het virus bereid de bestanden weer toegankelijk te maken. Tenminste, dat beweren ze. Inmiddels zijn ook veel andere systemen door het virus geraakt: parkeer- en pinautomaten, reclameborden, reizigersinformatiesystemen en meer.
Voor de verspreiding maakt het virus gebruik van een kwetsbaarheid in de implementatie van een protocol voor het delen van bestanden op een Windows-netwerk. En dat betekent dat als er een computer in een netwerk besmet is met het virus, andere kwetsbare computers in hetzelfde netwerk ook besmet kunnen raken. Het gevolg: die vers besmette computers zijn ook onbruikbaar en kunnen het virus op hun beurt ook weer doorgeven. Het was overigens een bekende kwetsbaarheid waarvoor Microsoft al twee maanden eerder een patchMicrosofts melding van het beveiligingsprobleem beschikbaar stelde. Voor wie de patch niet kon installeren, bood Microsoft ook een workaround.
Geheimhouden kwetsbaarheden maakt maatschappij onveiliger
Al snel werd met de beschuldigende vinger gewezen naar het Amerikaanse NSA. Dat is niet verrassend: de eerste keer dat deze kwetsbaarheid publiek bekend werd, was in een van de geheime dienst gestolen verzameling van zero days. Dat zijn kwetsbaarheden die nog niet bekend zijn bij de maker van de kwetsbare software en waarvoor dus nog geen patch beschikbaar is. Overheden bewerenOok onze politie mag straks misschien zero days misbruiken. Lees ons dossier. zulke kwetsbaarheden nodig te hebben voor onze veiligheid, maar de realiteit is dat het geheimhouden van zulke kwetsbaarheden de maatschappij alleen maar onveiliger maakt. Zo’n kwetsbaarheid wordt vroeg of laat door kwaadwillenden ontdekt en misbruikt. En daarmee loopt élke gebruiker van die software gevaar zolang de kwetsbaarheid niet is gedicht.
Een patch is alleen effectief na toepassing
Toch is het enkel de NSA de schuld geven veel te gemakkelijk. Immers, er was al sinds twee maanden een update van de software om het gat te dichten beschikbaar. Iedereen die nu door dit virus geraakt is heeft een ander probleem: op de een of andere manier werkt het proces van het updaten van software niet naar behoren. Soms is dat verwijtbare dommigheid. Soms is het doorvoeren van updates complexer omdat zo’n update van de software het systeem ook kan breken. Dat is onwenselijk als je in een omgeving werkt waarin verwacht wordt dat het computersysteem altijd beschikbaar is, zoals in een ziekenhuis of bij de politie. Maar die complexiteit maakt niet dat je de kwetsbaarheid dan maar kunt negeren.
Devies: installeer updates en maak backups
In minder complexe situaties geldt: als je niet het risico wilt lopen dat een virus de bestanden op je computer onleesbaar maakt, moet je de beveiligingsupdates van de maker van de software altijd zo snel mogelijk installeren. Vaak kan dat geautomatiseerd en staat die optie zelfs standaard al aan – en moet je die functionaliteit dus vooral ook niet uitschakelen. Wees ook kritisch op wat je verder doet: open jij nog altijd ongezien elke bijlage die je per e-mail krijgt? Tegelijkertijd zul je je er ook altijd op voorbereid moeten zijn dat het wél een keertje misgaat. Maak daarom regelmatig backups, waarbij je ook enkele oudere versies bewaart. Mocht je toch een keer door een virus getroffen zijn, dan kun je je bestanden vanuit de backup herstellen.
Onze afhankelijkheid van onze digitale infrastructuur wordt alleen maar groter.
Investeren in sterke beveiliging digitale infrastructuur
Bedrijven, maar zeker ook onze overheid, moeten doordrongen worden van het belang van een goede beveiliging van onze digitale infrastructuur. Nu waren het ziekenhuizen en parkeer- en pinautomaten, de volgende keer ligt de distributie van onze supermarkten of het openbaar vervoer dagenlang plat. Onze afhankelijkheid van onze digitale infrastructuur wordt alleen maar groter naarmate we steeds meer “dingen aan het internet” hangen. De overheid moet daarom vol inzetten op een sterke beveiliging van onze digitale infrastructuur en communicatie. Ze kan dat doen door, bijvoorbeeld, makers van software aansprakelijk gehouden te kunnen worden voor onveilige software die ze op de markt zetten, geen gebruik te maken van zero days en te investeren in veelgebruikte open source beveiligingssoftware. Ik heb er alle vertrouwen in dat we die les ooit eens leren – de vraag is vooral: hoeveel van zulke wake-up calls zijn daarvoor nodig?
onbekend
Een ander OS kan ook wonderen doen!!!!!!!!!!!!
DigiBeetje
Helemaal mee eens. Zelf gebruik ik en de familie MacOS en/of Linux. De storm komt helaas weer vanuit Redmond en ik kan al zeggen dat ik geen dag spijt heb gehad door van Windows af te stappen.
Marien
HET andere OS? Gebruik ik al exclusief sinds tien jaar voor desktop, server en vps. Nooit virussen, ransomware, malware of zoiets. Perfect voor je persoonlijke veiligheid dus. Serieuze instellingen (Duitse en Franse overheid, Total) draaien hun backbones uitsluitend op Linux, vooral om redenen van veiligheid en beheersbaarheid. Toegegeven: DDOS-aanvallen voorkom je er niet mee, maar je kunt er wel snel en effectief op reageren. Intussen draait onze eigen overheid nog steeds grotendeels op Windows… Met XP op de deesktop of gemeentelijke websites die te hacken zijn zonder hackers skills…
Sebastiaan
Een slecht geconfigureerde Linux (door gebrek aan kennis) is minstens zo lek en onveilig, omdat gebruikers dan zelf dingen gaan uitzoeken.
Juist een wijdverbreid OS (als Windows) is beter en goedkoper te beheren.
Linux beter, Windows beter: het maakt niets uit. Het is een kosten-baten analyse, waar Windows (momenteel) wint.
Marien
De standaardinstellingen van bekende Linux distro’s zijn een stuk veiliger dan die van Windows. Gebruikers kunnen elk systeem lek maken, maar wie zelf iets wil instellen krijgt in de Linux-wereld tenminste een fatsoenlijke documentatie. Op eigen risico uiteraard. Bovendien krijgt een indringer op *NIX-systemen niet zomaar admin-rechten, zodat virussen of andere acties in principe niet werken. En dat Windows goedkoper is geldt zeker niet voor particuliere gebruikers. Maar ook voor bedrijven kan een professioneel ondersteunde Linux-server goedkoper uitpakken.
AC
Het onder de klep houden van zer days is voor zover ik kan nagaan toch integraal onderdeel van de door de tweede kamer al goedgekeurde “hackvoorstel” – wellicht dat de eerste kamer dit signaal oppikt en het wetsvoorstel afkeurt.
Anoniem
Ik neem aan dat AL het personeel van de falende ICT afdelingen bij banken, overheden en bedrijven inmiddels op straat staan!!
AL die mensen hebben gefaald in hun werkzaamheden, dus moven.
Dit is werkelijk te triest voor woorden
Tom
Ietwat kort door de bocht.
Soms moet je iets meemaken om er de ernst van in te leren zien.
ICT-personeel dat nu een wake-up call heeft gehad en daar merkbaar wakker van geworden is, kun je beter houden. Heb je meer aan dan weer verse, slapende lui te gaan zoeken.
bekend
ICT personeel weet doorgaans wel waar zij mee bezig zijn en wat nodig is. Het zijn de (ICT-) bestuurders met hun ‘kosten-besparen-waanzin’ die een ICT afdeling niet de ruimte of middelen geven om hun werk goed te doen.
Een tegenargument is dat de uitvoerende ICT’ers gafaald hebben om het management het belang van een strak patch regiem te laten inzien. Maar hoe dan ook, niet de ICT’er maar het management is verantwoordelijk en zou vervangen moeten worden
Anoniem
Nounou, ik zou niet zo lyrisch over Microsoft doen. Na het lekken van de exploit van de NSA heeft Microsoft een patch klaargezet voor de producten die ze ondersteunen. Iedereen die nog met oude software werkte had daar niks aan, zeker niet een leverancier parkeerautomaten. Wat moet die dan doen? Bij elke patch langs alle parkeerautomaten rijden? Dat is ondoenlijk. (Natuurlijk had ie geen Microsoft product in de eerste plaats moeten gebruiken, maar dat is een andere kwestie.)
Microsoft heeft nu na WanaCry een patch voor uitgefaseerde systemen aangeboden.
Maar de exploit maakt gebruik van een bug die gewoonweg niet in het operating systeem had mogen zitten. Dit is gewoon slordig.
Sebastiaan
En wat mogen parkeerwachters nu doen? Precies: langs verouderde systemen rijden om én een herinstallatie te doen én de update te installeren…
Dus om vooraf te roepen dat het slecht is: ja. De parkeerdienst had er rekening mee moeten houden dat systemen updatebaar moeten zijn, remote, lokaal, what ever. Niet kunnen updaten is een flaw van de kant van parkeerbeheer, niet van Microsoft of de NSA.
Broken-Windows
Hoe ging die reclame van Mirco$hit ook alweer?
Was iets met virussen detecteren stoppen voor dat ze uitbreken?
Klonk als zelfverkreupeling maar gelukkig werkte dat nog niet dan?
SMS parkeerpaal
Gratis parkeren in heel Nederland?
Digitale Evolutie?
Cash killer?
Privacy diefstal?
Enig idee of het openbaar vervoer ook onderuit ligt?