18 mei 2017 -
WannaCry maakte gebruik van een ernstige kwetsbaarheid waarvoor al in maart een patch beschikbaar was. Het overduidelijke bewijs dat de huidige patchingpraktijk een gevaar vormt voor de samenleving.
DearBytes roept leveranciers en overheid dan ook op om hun verantwoordelijkheid te nemen.
In enkele dagen tijd vielen de bestanden van 230.000 slachtoffers in handen van afpersers. Onder de gedupeerden van WannaCry bevonden zich het Nederlandse parkeerbedrijf Q-Park, de Franse autofabrikant Renault en enkele Britse ziekenhuizen. Zeker in de zorg kan een ransomware-infectie letterlijk mensenlevens op het spel zetten.
Patchmoeheid
De ransomware maakt gebruik van een kritiek lek in Microsofts Windows SMB Server. Saillant detail is dat Microsoft al in maart een patch beschikbaar stelde voor kwetsbaarheid "MS17-010". De getroffen organisaties hebben die update dus niet op tijd uitgevoerd.
"Dit is een bevestiging van de patchmoeheid die al langer heerst," stelt Erik Remmelzwaal, CEO van DearBytes. "Systeem- en netwerkbeheerders van middelgrote en grotere organisaties krijgen per jaar zo"n 5.000 aanpassingen per device voor hun kiezen. En om uit te sluiten dat die updates voor negatieve effecten zorgen, moeten ze allemaal worden getest. Daar gaat erg veel tijd in zitten die er vaak niet is."
Hackbevoegdheden
"Bovendien komen kwetsbaarheden steeds vaker pas uit lang nadat ze zijn ontdekt, zeker nu overheden hackbevoegdheden aan het optuigen zijn en ze een incentive hebben om dingen onder de pet te houden," vervolgt Remmelzwaal. "Gedurende die periode lopen bedrijven het risico dat cybercriminelen misbruik maken van het lek. Bedrijven die gebruikmaken van niet-ondersteunde software zoals Windows XP hebben helemaal het nakijken en blijven kwetsbaar."
Kwaliteit software moet omhoog
De kwaliteit van software is momenteel niet goed genoeg, de snelheid van het ontwikkelen van een patch ligt te laag en het aantal updates is te groot. Volgens DearBytes heeft de huidige patchingpraktijk dan ook zijn langste tijd gehad.
Het is tijd dat alle partijen die invloed kunnen hebben op de veiligheid van software hun verantwoordelijkheid nemen:
1. Leveranciers van software
Uitgangspunt moet zijn dat software by design en by default veilig is. Nieuwe Europese privacywetgeving zoals de Algemene Verordening Gegevensbescherming vereist dit ook.
Als het dan toch misgaat en er is sprake van een ernstig lek, dan moet de leverancier van de software ook direct actie ondernemen en niet wachten op de maandelijkse patchronde. Gelukkig gebeurt dit al steeds vaker, al kost het natuurlijk wel altijd tijd om een fix te maken en te testen.
Leveranciers moeten ook aansprakelijk blijven voor onveilige softwaresystemen. Hoewel de ondersteuning voor verouderde producten niet aan wettelijk regels is gebonden, accepteert niemand het als een auto na tien jaar door een gebrek aan onderdelen van de weg moet. Ook binnen de IT moet end-of-life minder vanzelfsprekend worden.
2. De politiek
In de wet staat dat een product deugdelijk moet zijn. Een broodrooster waar de vlammen uit springen, mag je zonder problemen terugbrengen. En eventuele schade door die vlammen kun je op de leverancier verhalen. De politiek moet ervoor zorgen dat consumenten en organisaties die rechten ook hebben bij de aanschaf van software.
Niet genoeg aandacht besteden aan de kwaliteit van software of het niet tijdig updaten van software is een vorm van nalatigheid waar een sanctie op moet staan. Dit besef dringt steeds meer door. Zo sleepte de Amerikaanse Federal Trade Commission (FTC) D-Link voor de rechter omdat het fouten in zijn software jarenlang zou hebben genegeerd.
Ook binnen de Nederlandse politiek zijn er geluiden om eisen te stellen aan de IT-veiligheid van hardware en software. Zo is er een voorstel om een "keurmerk" voor Internet of Things-apparaten in te voeren. Toch bleek ook uit de verkiezingsprogramma"s voor de Tweede Kamerverkiezingen van eerder dit jaar dat cybersecurity bij de meeste partijen op weinig aandacht kan rekenen. Enkele grote politieke partijen besteedden er niet of nauwelijks aandacht aan.
Gezamenlijke verantwoordelijkheid
Remmelzwaal: "Gezien de enorme hoeveelheid patches kun je de eindverantwoordelijkheid voor security niet meer alleen bij de afnemers van software neerleggen. Het is een gezamenlijke verantwoordelijkheid waar zowel klanten, leveranciers als de politiek een aandeel in hebben. Het wordt tijd dat leveranciers en de politiek dit ook in gaan zien. Het zou een mooie eerste stap zijn als de IT-veiligheid uitgebreid aan bod komt in het nieuwe regeerakkoord, inclusief het feitelijk beleggen ervan binnen een ministerie."
