Beveiliging van onze digitale infrastructuur is om te huilen
- 14 mei 2017
- Foto: Vladimir Yaitskiy
De afgelopen paar dagen gingen ziekenhuizen en parkeergarages onderuit door het computervirus WannaCry. Dat onze maatschappij zo hard geraakt wordt door zo’n virus laat zien dat we veel te weinig aandacht besteden aan de beveiliging van onze digitale infrastructuur.
Virus legt ziekenhuizen en parkeerautomaten plat
Groot in het nieuws de laatste paar dagen: ziekenhuizen in het Verenigd Koninkrijk liggen platNieuwsbericht over door virus getroffen ziekenhuizen omdat de computersystemen besmet zijn met een virus dat alle bestanden onleesbaar maakt. Alleen na betaling van losgeld zijn de makers van het virus bereid de bestanden weer toegankelijk te maken. Tenminste, dat beweren ze. Inmiddels zijn ook veel andere systemen door het virus geraakt: parkeer- en pinautomaten, reclameborden, reizigersinformatiesystemen en meer.
Voor de verspreiding maakt het virus gebruik van een kwetsbaarheid in de implementatie van een protocol voor het delen van bestanden op een Windows-netwerk. En dat betekent dat als er een computer in een netwerk besmet is met het virus, andere kwetsbare computers in hetzelfde netwerk ook besmet kunnen raken. Het gevolg: die vers besmette computers zijn ook onbruikbaar en kunnen het virus op hun beurt ook weer doorgeven. Het was overigens een bekende kwetsbaarheid waarvoor Microsoft al twee maanden eerder een patchMicrosofts melding van het beveiligingsprobleem beschikbaar stelde. Voor wie de patch niet kon installeren, bood Microsoft ook een workaround.
Geheimhouden kwetsbaarheden maakt maatschappij onveiliger
Al snel werd met de beschuldigende vinger gewezen naar het Amerikaanse NSA. Dat is niet verrassend: de eerste keer dat deze kwetsbaarheid publiek bekend werd, was in een van de geheime dienst gestolen verzameling van zero days. Dat zijn kwetsbaarheden die nog niet bekend zijn bij de maker van de kwetsbare software en waarvoor dus nog geen patch beschikbaar is. Overheden bewerenOok onze politie mag straks misschien zero days misbruiken. Lees ons dossier. zulke kwetsbaarheden nodig te hebben voor onze veiligheid, maar de realiteit is dat het geheimhouden van zulke kwetsbaarheden de maatschappij alleen maar onveiliger maakt. Zo’n kwetsbaarheid wordt vroeg of laat door kwaadwillenden ontdekt en misbruikt. En daarmee loopt élke gebruiker van die software gevaar zolang de kwetsbaarheid niet is gedicht.
Een patch is alleen effectief na toepassing
Toch is het enkel de NSA de schuld geven veel te gemakkelijk. Immers, er was al sinds twee maanden een update van de software om het gat te dichten beschikbaar. Iedereen die nu door dit virus geraakt is heeft een ander probleem: op de een of andere manier werkt het proces van het updaten van software niet naar behoren. Soms is dat verwijtbare dommigheid. Soms is het doorvoeren van updates complexer omdat zo’n update van de software het systeem ook kan breken. Dat is onwenselijk als je in een omgeving werkt waarin verwacht wordt dat het computersysteem altijd beschikbaar is, zoals in een ziekenhuis of bij de politie. Maar die complexiteit maakt niet dat je de kwetsbaarheid dan maar kunt negeren.
Devies: installeer updates en maak backups
In minder complexe situaties geldt: als je niet het risico wilt lopen dat een virus de bestanden op je computer onleesbaar maakt, moet je de beveiligingsupdates van de maker van de software altijd zo snel mogelijk installeren. Vaak kan dat geautomatiseerd en staat die optie zelfs standaard al aan – en moet je die functionaliteit dus vooral ook niet uitschakelen. Wees ook kritisch op wat je verder doet: open jij nog altijd ongezien elke bijlage die je per e-mail krijgt? Tegelijkertijd zul je je er ook altijd op voorbereid moeten zijn dat het wél een keertje misgaat. Maak daarom regelmatig backups, waarbij je ook enkele oudere versies bewaart. Mocht je toch een keer door een virus getroffen zijn, dan kun je je bestanden vanuit de backup herstellen.
Onze afhankelijkheid van onze digitale infrastructuur wordt alleen maar groter.
Investeren in sterke beveiliging digitale infrastructuur
Bedrijven, maar zeker ook onze overheid, moeten doordrongen worden van het belang van een goede beveiliging van onze digitale infrastructuur. Nu waren het ziekenhuizen en parkeer- en pinautomaten, de volgende keer ligt de distributie van onze supermarkten of het openbaar vervoer dagenlang plat. Onze afhankelijkheid van onze digitale infrastructuur wordt alleen maar groter naarmate we steeds meer “dingen aan het internet” hangen. De overheid moet daarom vol inzetten op een sterke beveiliging van onze digitale infrastructuur en communicatie. Ze kan dat doen door, bijvoorbeeld, makers van software aansprakelijk gehouden te kunnen worden voor onveilige software die ze op de markt zetten, geen gebruik te maken van zero days en te investeren in veelgebruikte open source beveiligingssoftware. Ik heb er alle vertrouwen in dat we die les ooit eens leren – de vraag is vooral: hoeveel van zulke wake-up calls zijn daarvoor nodig?