zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

'Patchen ernstige kwetsbaarheden moet anders'

18 mei 2017 - WannaCry maakte gebruik van een ernstige kwetsbaarheid waarvoor al in maart een patch beschikbaar was. Het overduidelijke bewijs dat de huidige patchingpraktijk een gevaar vormt voor de samenleving.

DearBytes roept leveranciers en overheid dan ook op om hun verantwoordelijkheid te nemen.
In enkele dagen tijd vielen de bestanden van 230.000 slachtoffers in handen van afpersers. Onder de gedupeerden van WannaCry bevonden zich het Nederlandse parkeerbedrijf Q-Park, de Franse autofabrikant Renault en enkele Britse ziekenhuizen. Zeker in de zorg kan een ransomware-infectie letterlijk mensenlevens op het spel zetten.
 
Patchmoeheid
De ransomware maakt gebruik van een kritiek lek in Microsofts Windows SMB Server. Saillant detail is dat Microsoft al in maart een patch beschikbaar stelde voor kwetsbaarheid "MS17-010". De getroffen organisaties hebben die update dus niet op tijd uitgevoerd.
"Dit is een bevestiging van de patchmoeheid die al langer heerst," stelt Erik Remmelzwaal, CEO van DearBytes. "Systeem- en netwerkbeheerders van middelgrote en grotere organisaties krijgen per jaar zo"n 5.000 aanpassingen per device voor hun kiezen. En om uit te sluiten dat die updates voor negatieve effecten zorgen, moeten ze allemaal worden getest. Daar gaat erg veel tijd in zitten die er vaak niet is."
 
Hackbevoegdheden
"Bovendien komen kwetsbaarheden steeds vaker pas uit lang nadat ze zijn ontdekt, zeker nu overheden hackbevoegdheden aan het optuigen zijn en ze een incentive hebben om dingen onder de pet te houden," vervolgt Remmelzwaal. "Gedurende die periode lopen bedrijven het risico dat cybercriminelen misbruik maken van het lek. Bedrijven die gebruikmaken van niet-ondersteunde software zoals Windows XP hebben helemaal het nakijken en blijven kwetsbaar."
 
Kwaliteit software moet omhoog
De kwaliteit van software is momenteel niet goed genoeg, de snelheid van het ontwikkelen van een patch ligt te laag en het aantal updates is te groot. Volgens DearBytes heeft de huidige patchingpraktijk dan ook zijn langste tijd gehad.
Het is tijd dat alle partijen die invloed kunnen hebben op de veiligheid van software hun verantwoordelijkheid nemen:
 
1. Leveranciers van software
Uitgangspunt moet zijn dat software by design en by default veilig is. Nieuwe Europese privacywetgeving zoals de Algemene Verordening Gegevensbescherming vereist dit ook. 
Als het dan toch misgaat en er is sprake van een ernstig lek, dan moet de leverancier van de software ook direct actie ondernemen en niet wachten op de maandelijkse patchronde. Gelukkig gebeurt dit al steeds vaker, al kost het natuurlijk wel altijd tijd om een fix te maken en te testen.
Leveranciers moeten ook aansprakelijk blijven voor onveilige softwaresystemen. Hoewel de ondersteuning voor verouderde producten niet aan wettelijk regels is gebonden, accepteert niemand het als een auto na tien jaar door een gebrek aan onderdelen van de weg moet. Ook binnen de IT moet end-of-life minder vanzelfsprekend worden.
 
2. De politiek
In de wet staat dat een product deugdelijk moet zijn. Een broodrooster waar de vlammen uit springen, mag je zonder problemen terugbrengen. En eventuele schade door die vlammen kun je op de leverancier verhalen. De politiek moet ervoor zorgen dat consumenten en organisaties die rechten ook hebben bij de aanschaf van software.
Niet genoeg aandacht besteden aan de kwaliteit van software of het niet tijdig updaten van software is een vorm van nalatigheid waar een sanctie op moet staan. Dit besef dringt steeds meer door. Zo sleepte de Amerikaanse Federal Trade Commission (FTC) D-Link voor de rechter omdat het fouten in zijn software jarenlang zou hebben genegeerd.
Ook binnen de Nederlandse politiek zijn er geluiden om eisen te stellen aan de IT-veiligheid van hardware en software. Zo is er een voorstel om een "keurmerk" voor Internet of Things-apparaten  in te voeren. Toch bleek ook uit de verkiezingsprogramma"s voor de Tweede Kamerverkiezingen van eerder dit jaar dat cybersecurity bij de meeste partijen op weinig aandacht kan rekenen. Enkele grote politieke partijen besteedden er niet of nauwelijks aandacht aan.
 
Gezamenlijke verantwoordelijkheid
Remmelzwaal: "Gezien de enorme hoeveelheid patches kun je de eindverantwoordelijkheid voor security niet meer alleen bij de afnemers van software neerleggen. Het is een gezamenlijke verantwoordelijkheid waar zowel klanten, leveranciers als de politiek een aandeel in hebben. Het wordt tijd dat leveranciers en de politiek dit ook in gaan zien. Het zou een mooie eerste stap zijn als de IT-veiligheid uitgebreid aan bod komt in het nieuwe regeerakkoord, inclusief het feitelijk beleggen ervan binnen een ministerie."
 

 
 Doorsturen   Reageer  

 

Laatste nieuws

 HR-manager kan burn-out helpen voorkomen
 Solliciteren via smartphone is de belangrijkste recruitmenttrend voor 2018
 Startende bedrijven kunnen minder betalen voor zakelijke rekeningen
 

Gerelateerde nieuwsitems

 Nederland in top tien meeste DDoS-slachtoffers
 Overheid en financiële sector vaakst slachtoffer van cyberaanvallen
 Non-malware aanvallen groter risico dan reguliere malware
 Digitaal deltaplan nodig
 
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
Meer dan 100 gratis checklists voor ondernemers. Op Brisk Magazine, internetmagazine voor ondernemers.
Bescherm uw data - infographic over informatiebeveiliging
reacties
HR-manager kan burn-out helpen voorkomen  (1) 
Vrouwen besluiten vóór hun zestiende dat ze niet in cybersecurity willen werken (1) 
Cybersecurity-blunders van derden vormen grootste kostenpost (3) 
Goede vragen stellen is een kunst (2) 
Mobiele professionals steeds meer verslaafd aan Wi-Fi (1) 
Hoe stel in het functoneren van mijn projectleider aan de kaak? (1) 
Nederlander verveelt zich het minst vaak op het werk (2) 
beurs
Stijgers Dalers
Yatra 5.2  5.9 %
Groothandels 50.9  5.8 %
Advanced met 39.73  4.5 %
TNT express 8.45  -9.5 %
Altice 8.12  -8 %
Beter bed 12.86  -3 %
Nieuwe records op Wall Street
Wall Street richting hoger slot
Olieprijs daalt
meer beurs
top10
Goede vragen stellen is een kunst
Een vijfde van de loonstrookjes klopt niet
HR-verantwoordelijke mkb ligt wakker van behouden werknemers
Veilig bestanden delen: zeven best practices
Lean & Agile: gouden huwelijk of langdurige strijd?
Nederlander verveelt zich het minst vaak op het werk
HR-manager kan burn-out helpen voorkomen
Belang employer branding neemt toe in recruitmentproces
Cybersecurity-blunders van derden vormen grootste kostenpost
Werkgevers schieten tekort in strategie rondom gezondheid
meer top 10
vacatures
meer vacatures