zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

'Patchen ernstige kwetsbaarheden moet anders'

18 mei 2017 - WannaCry maakte gebruik van een ernstige kwetsbaarheid waarvoor al in maart een patch beschikbaar was. Het overduidelijke bewijs dat de huidige patchingpraktijk een gevaar vormt voor de samenleving.

DearBytes roept leveranciers en overheid dan ook op om hun verantwoordelijkheid te nemen.
In enkele dagen tijd vielen de bestanden van 230.000 slachtoffers in handen van afpersers. Onder de gedupeerden van WannaCry bevonden zich het Nederlandse parkeerbedrijf Q-Park, de Franse autofabrikant Renault en enkele Britse ziekenhuizen. Zeker in de zorg kan een ransomware-infectie letterlijk mensenlevens op het spel zetten.
 
Patchmoeheid
De ransomware maakt gebruik van een kritiek lek in Microsofts Windows SMB Server. Saillant detail is dat Microsoft al in maart een patch beschikbaar stelde voor kwetsbaarheid "MS17-010". De getroffen organisaties hebben die update dus niet op tijd uitgevoerd.
"Dit is een bevestiging van de patchmoeheid die al langer heerst," stelt Erik Remmelzwaal, CEO van DearBytes. "Systeem- en netwerkbeheerders van middelgrote en grotere organisaties krijgen per jaar zo"n 5.000 aanpassingen per device voor hun kiezen. En om uit te sluiten dat die updates voor negatieve effecten zorgen, moeten ze allemaal worden getest. Daar gaat erg veel tijd in zitten die er vaak niet is."
 
Hackbevoegdheden
"Bovendien komen kwetsbaarheden steeds vaker pas uit lang nadat ze zijn ontdekt, zeker nu overheden hackbevoegdheden aan het optuigen zijn en ze een incentive hebben om dingen onder de pet te houden," vervolgt Remmelzwaal. "Gedurende die periode lopen bedrijven het risico dat cybercriminelen misbruik maken van het lek. Bedrijven die gebruikmaken van niet-ondersteunde software zoals Windows XP hebben helemaal het nakijken en blijven kwetsbaar."
 
Kwaliteit software moet omhoog
De kwaliteit van software is momenteel niet goed genoeg, de snelheid van het ontwikkelen van een patch ligt te laag en het aantal updates is te groot. Volgens DearBytes heeft de huidige patchingpraktijk dan ook zijn langste tijd gehad.
Het is tijd dat alle partijen die invloed kunnen hebben op de veiligheid van software hun verantwoordelijkheid nemen:
 
1. Leveranciers van software
Uitgangspunt moet zijn dat software by design en by default veilig is. Nieuwe Europese privacywetgeving zoals de Algemene Verordening Gegevensbescherming vereist dit ook. 
Als het dan toch misgaat en er is sprake van een ernstig lek, dan moet de leverancier van de software ook direct actie ondernemen en niet wachten op de maandelijkse patchronde. Gelukkig gebeurt dit al steeds vaker, al kost het natuurlijk wel altijd tijd om een fix te maken en te testen.
Leveranciers moeten ook aansprakelijk blijven voor onveilige softwaresystemen. Hoewel de ondersteuning voor verouderde producten niet aan wettelijk regels is gebonden, accepteert niemand het als een auto na tien jaar door een gebrek aan onderdelen van de weg moet. Ook binnen de IT moet end-of-life minder vanzelfsprekend worden.
 
2. De politiek
In de wet staat dat een product deugdelijk moet zijn. Een broodrooster waar de vlammen uit springen, mag je zonder problemen terugbrengen. En eventuele schade door die vlammen kun je op de leverancier verhalen. De politiek moet ervoor zorgen dat consumenten en organisaties die rechten ook hebben bij de aanschaf van software.
Niet genoeg aandacht besteden aan de kwaliteit van software of het niet tijdig updaten van software is een vorm van nalatigheid waar een sanctie op moet staan. Dit besef dringt steeds meer door. Zo sleepte de Amerikaanse Federal Trade Commission (FTC) D-Link voor de rechter omdat het fouten in zijn software jarenlang zou hebben genegeerd.
Ook binnen de Nederlandse politiek zijn er geluiden om eisen te stellen aan de IT-veiligheid van hardware en software. Zo is er een voorstel om een "keurmerk" voor Internet of Things-apparaten  in te voeren. Toch bleek ook uit de verkiezingsprogramma"s voor de Tweede Kamerverkiezingen van eerder dit jaar dat cybersecurity bij de meeste partijen op weinig aandacht kan rekenen. Enkele grote politieke partijen besteedden er niet of nauwelijks aandacht aan.
 
Gezamenlijke verantwoordelijkheid
Remmelzwaal: "Gezien de enorme hoeveelheid patches kun je de eindverantwoordelijkheid voor security niet meer alleen bij de afnemers van software neerleggen. Het is een gezamenlijke verantwoordelijkheid waar zowel klanten, leveranciers als de politiek een aandeel in hebben. Het wordt tijd dat leveranciers en de politiek dit ook in gaan zien. Het zou een mooie eerste stap zijn als de IT-veiligheid uitgebreid aan bod komt in het nieuwe regeerakkoord, inclusief het feitelijk beleggen ervan binnen een ministerie."
 

 
 Doorsturen   Reageer  

 

Laatste nieuws

 Helft autobestuurders gebruikt smartphone tijdens het rijden
 Gespecialiseerde ransomware-leveranciers verdienen riante salarissen
 Topmanagers van HEMA, Shell en CGI finalisten Young Captain Award 2017
 

Gerelateerde nieuwsitems

 Nederland in top tien meeste DDoS-slachtoffers
 Overheid en financiële sector vaakst slachtoffer van cyberaanvallen
 Non-malware aanvallen groter risico dan reguliere malware
 Digitaal deltaplan nodig
 
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
advertorial
Een zwangere medewerkster, bent u goed voorbereid?
Loopt het contract van een van u zwangere medewerkers binnenkort af maar wilt u haar het liefst in dienst houden? Bespreek samen jullie plannen om een goede samenwerking te behouden voor na de zwangerschap.
Lees verder
Meer dan 100 gratis checklists voor ondernemers. Op Brisk Magazine, internetmagazine voor ondernemers.
Goede beveiliging verkleint risico autodiefstal met 75 procent
reacties
Talenten willen werken voor hoog presterende organisaties (1) 
Openbaar vervoer of taxi? De tarieven voor Europese steden op een rij (1) 
IoT gaat mainstream (1) 
Meer dan een kwart van vacatures staat langer dan 60 dagen open (1) 
Sleepwet komt er, hoe u zelf uw privacy kunt beschermen (1) 
Bedrijven komen pas in actie na cyberaanval (1) 
'Een beetje integer' (1) 
beurs
Stijgers Dalers
Doc data 0.5  4.2 %
Nutreco 47  3.9 %
Ballast neda 0.31  3.3 %
TNT express 8.45  -9.5 %
Unilever 47.79  -2.9 %
Sligro food 38.89  -1.8 %
PayPal boekt meer winst op hogere omzet
Wall Street sluit verdeeld
Wall Street op weg naar vlak tot licht lager slot
meer beurs
top10
Ligt het aan mij of ligt het aan hen?
'Een beetje integer'
Werknemer krijgt liever compliment van manager dan salarisverhoging
Sleepwet komt er, hoe u zelf uw privacy kunt beschermen
Projecten? Zie het eens als een lust in plaats van een last!
Zzp’er, denk na over de risico’s die u loopt
Managers beduidend tevredener dan medewerkers
LinkedIn tips voor managers
War for Talent bepaalt het salarisklimaat
DNA van Nederlandse consultants wordt onderzocht
meer top 10
vacatures
meer vacatures