zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

'Patchen ernstige kwetsbaarheden moet anders'

18 mei 2017 - WannaCry maakte gebruik van een ernstige kwetsbaarheid waarvoor al in maart een patch beschikbaar was. Het overduidelijke bewijs dat de huidige patchingpraktijk een gevaar vormt voor de samenleving.

DearBytes roept leveranciers en overheid dan ook op om hun verantwoordelijkheid te nemen.


In enkele dagen tijd vielen de bestanden van 230.000 slachtoffers in handen van afpersers. Onder de gedupeerden van WannaCry bevonden zich het Nederlandse parkeerbedrijf Q-Park, de Franse autofabrikant Renault en enkele Britse ziekenhuizen. Zeker in de zorg kan een ransomware-infectie letterlijk mensenlevens op het spel zetten.
 
Patchmoeheid
De ransomware maakt gebruik van een kritiek lek in Microsofts Windows SMB Server. Saillant detail is dat Microsoft al in maart een patch beschikbaar stelde voor kwetsbaarheid "MS17-010". De getroffen organisaties hebben die update dus niet op tijd uitgevoerd.
"Dit is een bevestiging van de patchmoeheid die al langer heerst," stelt Erik Remmelzwaal, CEO van DearBytes. "Systeem- en netwerkbeheerders van middelgrote en grotere organisaties krijgen per jaar zo"n 5.000 aanpassingen per device voor hun kiezen. En om uit te sluiten dat die updates voor negatieve effecten zorgen, moeten ze allemaal worden getest. Daar gaat erg veel tijd in zitten die er vaak niet is."
 
Hackbevoegdheden
"Bovendien komen kwetsbaarheden steeds vaker pas uit lang nadat ze zijn ontdekt, zeker nu overheden hackbevoegdheden aan het optuigen zijn en ze een incentive hebben om dingen onder de pet te houden," vervolgt Remmelzwaal. "Gedurende die periode lopen bedrijven het risico dat cybercriminelen misbruik maken van het lek. Bedrijven die gebruikmaken van niet-ondersteunde software zoals Windows XP hebben helemaal het nakijken en blijven kwetsbaar."
 
Kwaliteit software moet omhoog
De kwaliteit van software is momenteel niet goed genoeg, de snelheid van het ontwikkelen van een patch ligt te laag en het aantal updates is te groot. Volgens DearBytes heeft de huidige patchingpraktijk dan ook zijn langste tijd gehad.
Het is tijd dat alle partijen die invloed kunnen hebben op de veiligheid van software hun verantwoordelijkheid nemen:
 
1. Leveranciers van software
Uitgangspunt moet zijn dat software by design en by default veilig is. Nieuwe Europese privacywetgeving zoals de Algemene Verordening Gegevensbescherming vereist dit ook. 
Als het dan toch misgaat en er is sprake van een ernstig lek, dan moet de leverancier van de software ook direct actie ondernemen en niet wachten op de maandelijkse patchronde. Gelukkig gebeurt dit al steeds vaker, al kost het natuurlijk wel altijd tijd om een fix te maken en te testen.
Leveranciers moeten ook aansprakelijk blijven voor onveilige softwaresystemen. Hoewel de ondersteuning voor verouderde producten niet aan wettelijk regels is gebonden, accepteert niemand het als een auto na tien jaar door een gebrek aan onderdelen van de weg moet. Ook binnen de IT moet end-of-life minder vanzelfsprekend worden.
 
2. De politiek
In de wet staat dat een product deugdelijk moet zijn. Een broodrooster waar de vlammen uit springen, mag je zonder problemen terugbrengen. En eventuele schade door die vlammen kun je op de leverancier verhalen. De politiek moet ervoor zorgen dat consumenten en organisaties die rechten ook hebben bij de aanschaf van software.
Niet genoeg aandacht besteden aan de kwaliteit van software of het niet tijdig updaten van software is een vorm van nalatigheid waar een sanctie op moet staan. Dit besef dringt steeds meer door. Zo sleepte de Amerikaanse Federal Trade Commission (FTC) D-Link voor de rechter omdat het fouten in zijn software jarenlang zou hebben genegeerd.
Ook binnen de Nederlandse politiek zijn er geluiden om eisen te stellen aan de IT-veiligheid van hardware en software. Zo is er een voorstel om een "keurmerk" voor Internet of Things-apparaten  in te voeren. Toch bleek ook uit de verkiezingsprogramma"s voor de Tweede Kamerverkiezingen van eerder dit jaar dat cybersecurity bij de meeste partijen op weinig aandacht kan rekenen. Enkele grote politieke partijen besteedden er niet of nauwelijks aandacht aan.
 
Gezamenlijke verantwoordelijkheid
Remmelzwaal: "Gezien de enorme hoeveelheid patches kun je de eindverantwoordelijkheid voor security niet meer alleen bij de afnemers van software neerleggen. Het is een gezamenlijke verantwoordelijkheid waar zowel klanten, leveranciers als de politiek een aandeel in hebben. Het wordt tijd dat leveranciers en de politiek dit ook in gaan zien. Het zou een mooie eerste stap zijn als de IT-veiligheid uitgebreid aan bod komt in het nieuwe regeerakkoord, inclusief het feitelijk beleggen ervan binnen een ministerie."
 

 
 Doorsturen   Reageer  

 

Laatste nieuws

 Extra personeel geen garantie voor betere security
  Merken verwachten moeilijkere bestrijding namaakproducten
 Honderden miljoenen cv’s moeten op 25 mei worden verwijderd
 

Gerelateerde nieuwsitems

 Nederland in top tien meeste DDoS-slachtoffers
 Overheid en financiële sector vaakst slachtoffer van cyberaanvallen
 Non-malware aanvallen groter risico dan reguliere malware
 Digitaal deltaplan nodig
 
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
Meer dan 100 gratis checklists voor ondernemers. Op Brisk Magazine, internetmagazine voor ondernemers.
reacties
De 5 zegeningen van burn-out (2) 
Honda CR-V Roadster (3) 
Zzp’er, denk na over de risico’s die u loopt (2) 
Twee derde Nederlanders vreest voor oudedagvoorziening (1) 
Nederlander worstelt met financiële administratie (1) 
Nederlander beschikt niet over digitale vaardigheden voor de toekomst (1) 
Nederlander heeft geen vertrouwen in verandervermogen organisatie  (7) 
top10
De 5 zegeningen van burn-out
Zo verkleint u de afhankelijkheid van Office 365
Solliciteren? Vertel uw persoonlijke verhaal
27 procent huishoudens belegt, ondanks lage rente
Zes tips om de klant van de toekomst te binden
Aantal zoekopdrachten naar ‘groene’ banen neemt toe
Nederland is koploper Agile werken
Wet- en regelgeving en bedrijfsgroei meest bepalend voor IT-investeringen
Vooral kleine organisaties vragen meer om ICT’ers
Zes tips voor een sterke merkorganisatie
meer top 10
vacatures
meer vacatures