Update 1: beveiligingsupdates moeten te installeren zijn

Dat klinkt als een open deur en dat is het natuurlijk ook. En toch. Nu lachen we nog hard om de onzinnigheid van veel internet of things-dingenInternet of Shit - en dan ook nog eens insecure, maar tegelijkertijd is het huilen met de pet op wanneer het op de beveiliging ervan aankomt. Zo speelde de 11-jarige Reuben PaulReuben vertelde over zijn hack bij een groot Nederlandse beveiligingsconferentie. met zijn teddybeer en hackte het arme beestje via de draadloze verbinding. Het vervelendste: op veel van dat soort apparaten - zo ook deze teddybeer - is het lastig beveiligingsupdates installeren. Ook voor de fabrikant, tenzij hij elke kinderkamer bezoekt. Dan is het misschien een slim apparaat, maar wel een domme fabrikant.

De enige oplossing is dan: zodra er een kwetsbaarheid bekend wordt, het apparaat weggooien en een nieuwe kopen. Een duurzamer oplossing: het zou not done moeten zijn om nog producten op de markt te zetten die wel connected zijn, maar niet op een fatsoenlijke manier geüpdate kunnen worden. Als consument mag je ook niets minder verwachten.

Update 2: geen updates zonder upgrades

We moeten ook nadenken over de grote aanpassingen in een systeem, zoals bijvoorbeeld de upgrade naar een nieuwe versie van het onderliggende besturingssysteem. Misschien zette je opa zijn eerste stappen op een computer met Windows XP en heeft hij sindsdien - ondanks alle waarschuwingen - nooit meer zijn computer geüpgrade. Onverstandig natuurlijk, want Windows XP is allang end of life. Hetzelfde geldt ook voor de robot in de fabriek die autodeuren op een chassis monteert. Het management heeft de keuze: de robots blijven gebruiken en daarbij een risico nemen, of groots investeren in nieuwe robots.

Natuurlijk zou die opa er goed aan doen om te upgraden, maar hoe stimuleer je dat? Hoeveel waarschuwingen mag zo iemand weg kunnen klikken? Of zou een historische computer gewoon niet meer moeten kunnen opstarten? Voor een grotere fabriek met veel afhankelijkheden is dat misschien wat moeilijker. Misschien moet er een regel komen dat in zo'n geval zo'n computer niet meer in een netwerk verbonden mag zijn? Ook voor de maker van de software is er een lastig dilemma: op een gegeven moment mag software écht wel end of life zijn en dan kun je eigenlijk ook geen beveiligingsupdates meer verwachten.

Update 3: updates mogen niets breken

Nog zo'n open deur. Een van de redenen waarom in het Verenigd Koninkrijk ziekenhuizen zijn geraakt door het WannaCry-gijzelvirus is dat men bijzonder terughoudend is om op zulke systemen aanpassingen te maken in de software. Begrijpelijk. Als de update niet goed doordacht is, dan kan die update er ook voor zorgen dat het systeem uitvalt of crasht. Dat wil je niet in een ziekenhuis, een politiebureau of bij de luchtverkeersleiding. Updates worden door dit soort instellingen dan ook eerst langdurig getest voordat ze geïnstalleerd worden.

Dat moet slimmer. Een beveiligingsupdate, zeker als de potentiële consequenties van de kwetsbaarheid groot zijn, moet snel geïnstalleerd kunnen worden. Dat betekent dat fabrikanten het risico dat de patch iets breekt moeten minimaliseren, bijvoorbeeld door de patch zo klein mogelijk te maken. Het betekent ook dat fabrikanten gebruikers goed moeten informeren over de aard van de update, de potentiële gevolgen van het toepassen van de patch en misschien zelfs assisteren als het gaat om software in apparaten waar levens vanaf hangen.

Update 4: het updateproces zelf kan een update gebruiken

Soms worden updates om andere redenen traag geïnstalleerd, bijvoorbeeld omdat men de inschatting maakt dat het met het misbruik van die kwetsbaarheid wel zal loslopen. Onze inschatting: beter een korte en gecontroleerde onderbreking, dan onverwacht en langdurig - en mogelijk verlies van gevoelige gegevens. Zo waren bijvoorbeeld de Franse fabrieken van Renault twee dagen dichtNieuwsbericht over het stil leggen van vijf fabrieken van Renault. omdat ook daar WannaCry toegeslagen had.

Soms liggen er meer procesmatige problemen ten grondslag aan een trage installatie van updates. Zo komt het voor dat de organisatie eerst het hele systeem weer opnieuw gecertificeerd moet krijgen voordat zij het gepatchte systeem weer in productie mag nemen. Als zo'n organisatie bij elke update dat hele certificeringsproces moet doorlopen, dan zullen patches opgespaard worden en is het daadwerkelijk patchen een oefening in uitstel. Wat ook voorkomt: een organisatie is afhankelijk van een externe leverancier voor het beheer van haar computersystemen en moet daar dan op wachten.

Dat moet anders: naarmate onze afhankelijkheid van de digitale infrastructuur groeit, moet ook de prioriteit voor het oplossen van kwetsbaarheden daarin stijgen. Het betekent dat de processen voor het toepassen van kwetsbaarheden anders ingericht moeten worden.

Update 5: beveiligen doe je voor het leven

Hoeveel kost jouw mobiele telefoon? Het antwoord van de meesten van ons: een paar honderd euro. Soms zelfs tegen de duizend. Hoe lang blijft die telefoon volgens jou in leven, wat is de gebruikstermijn? Gokje? Paar jaar. Jaar of vijf of zes als je tweedehands gebruik meeneemt. En wat staat erop? Alles over jou: foto's van je vakanties, je meest intieme chats, je internetbankieren. En dus is het niet onredelijk te verwachten dat de fabrikant je telefoon voor tenminste die termijn van zes jaar ondersteunt. Dat als er in die tijd een kwetsbaarheid met impact op de beveiliging van jouw gegevens bekend wordt, er ook een update beschikbaar komt die die kwetsbaarheid oplost. De realiteit is anders. Sommige modellen mobiele telefoons worden al niet eensTweakers.net vroeg zich af: mogen fabrikanten onveilige telefoons verkopen? meer ondersteund op het moment dat een toestel - als nieuw - werd verkocht.

En dit is nog best simpel: de ondersteuning voor een paar jaarDe Consumentenbond eist bij rechter tenminste twee jaar ondersteuning.. Maar als we straks alles aan het internet hebben aangesloten, dan hebben we het voor sommige apparaten over periodes die een decennium beslaan. Oudere auto's of koelkasten moeten ook nog die updates krijgen. Het zou stom zijn als een auto niet meer veilig de weg op kan, enkel en alleen omdat de fabrikant geen noodzakelijk onderhoud wil uitvoeren. Bij mechanische problemen kan de garage om de hoek misschien nog iets doen, maar omdat de broncode van de software vaak een bedrijfsgeheim is, kan dat niet meer. En milieutechnisch is het natuurlijk al helemaal een ramp om een auto na tien jaar te moeten vervangen, enkel omdat er geen beveiligingsupdates meer komen. En dan wordt het allemaal al snel best tricky: want wat moet je als de fabrikant in de tussentijd failliet is gegaan?

Wellicht moeten bedrijven verplicht gaan worden een verzekering af te sluiten. Bij het in de markt brengen van een product moeten ze een grote zak geld bij een neutrale derde neerzetten die, bij faillissement of desinteresse van de fabrikant, kwetsbaarheden in het product kan oplossen of schade kan vergoeden.

Update 6: standaard automatische installatie beveiligingsupdates

Eén ding weet ik zeker: als ik zelf eens in de zoveel tijd moet controleren of er een nieuwe beveiligingsupdate beschikbaar is, dan zal ik vaak kwetsbaar zijn. Dat is misschien al minder het geval als mijn connected device uit zichzelf op zoek gaat naar nieuwe updates en mij een seintje geeft als er nieuwe updates beschikbaar zijn. Maar die melding komt natuurlijk altijd op een moment dat ik even moet concentreren op mijn werk. Maar de apps op mijn telefoon zijn eigenlijk altijd wel up to date: het gebeurt automatisch, ik merk het nauwelijks. Eens in de paar dagen kijk ik wat er is aangepast. Maar voor het overgrote deel van de gebruikers en apparaten werkt dit uitstekend. Zeker als de beveiligingsupdates niets meer zijn dan beveiligingsupdates, zie verderop. Uiteraard zijn er situaties denkbaar waar je dit niet wilt, daarom moet het mogelijk zijn om zulke automatische updates uit te schakelen.

Het argument zal snel zijn dat je in veel situaties geen geautomatiseerde wijzigingen aan een draaiend systeem wilt. Wellicht wil je als aanbieder van hosting van websites niet het risico lopen dat een update je websites breken. Maar de oplossing is dan niet het uitschakelen van de automatische updates, maar het verbeteren van die updates. De fabrikant moet zeggen: wij hebben er zoveel vertrouwen in dat ons product na een update blijft werken, dat we je niet eens vragen of je de update wilt installeren. Geeft het shit, dan lossen wij die shit voor je op. En ja, er zullen altijd uitzonderingen op de regel zijn - maar dat moeten dan ook precies dat zijn: uitzonderingen.

Update 7: zeker weten dat de update geen malware is

Wat doe je als je browser opeens een schermpje toont dat je aanspoort om snel een update te installeren om te voorkomen dat je mogelijk je gegevens kwijt raakt? En verandert er nog iets als je die melding te zien krijgt nadat je 's ochtends op het journaal een reportage gezien hebt over een wereldwijde aanval met gijzelsoftware? Grote kans dat je op de knop "installeren" drukt. Maar ook grote kans dat je daarmee geen beveiligingsupdate naar binnen haalt, maar juist de gevreesde malware. Punt is, lang niet altijd is goed nagedacht over de controle op de authenticiteit van een update. Is de aangeboden update wel van de fabrikant?

Het systeem moet zo ingericht zijn dat de gebruiker alleen beveiligingsupdates installeert uit een betrouwbare bron, meestal de fabrikant. Dat is voor een groot deel technisch af te dwingen. De controle op de authenticiteit van de updateserver is te controleren met cryptografie. Uiteraard moet de fabrikant zijn infrastructuur dan nog wel goed beveiligen, want dat wordt alleen maar een grotere target.

Update 8: een beveiligingsupdate staat los van feature-updates

In Apples aankondiging van een nieuwe versie van het besturingssysteem voor mobiele telefoons, iOS 11, ging de nodige aandacht uit naar de faceliftNieuwsartikel: Apple heeft in iOS 11 het Bedieningspaneel compleet vernieuwd. van het zogenaamde toegangsscherm en berichtencentrum. Nieuw uiterlijk, nieuwe instellingen. Dat is mooi voor wie daar op zat te wachten. Maar wie gelukkig is met de huidige functionaliteit installeert die update misschien gewoon niet. Hoewel een begrijpelijk keuze is dat niet zonder onwenselijke consequenties. Als je deze update niet installeert, blijf je ook verstoken van de beveiligingsupdates die je wel wilt. Dat geldt overigens ook voor andere aanpassingen in de telefoon, zoals bijvoorbeeld veranderingen in de instellingen of de permissies die een app heeft.

Dat moet anders: fabrikanten moeten een onderscheid maken tussen beveiligingsupdates en andere updates. De gebruiker moet de beveiligingsupdates die kwetsbaarheden oplossen kunnen installeren, zonder daarbij gedwongen te zijn ook wijzigingen in de functionaliteit voor lief te nemen. Een goed voorbeeld, in dat opzicht, zijn de updatesIn Ubuntu kun je instellen dat je computer alleen controleert op beveiligingsupdates. van Ubuntu. Daar kun je instellen dat je computer alleen beveiligingsupdates installeert, en andere updates links laat liggen.

Update 9: een beveiligingsupdate is onvoorwaardelijk

Of sterker gezegd, elke drempel die het installeren van een update in de weg staat moet waar mogelijk weggenomen worden. Dat betekent dat de beschikbaarheid van een update niet afhankelijk mag zijn van de contractuele afspraken tussen de fabrikant en de gebruiker of dat de gebruiker gedwongen kan worden om te betalen voor een update die een kwetsbaarheid oplost. Nog zoiets: een update mag de gebruiker ook niet onnodig in de weg zitten. Stel je bent met de auto naar de afspraak bij de tandarts gereden, maar je mag de motor niet uitzetten zolang de update - die nog twintig minuten duurt - geïnstalleerd wordt. Of dat je bij thuiskomst de lichten aan wilt doen, maar de app op je telefoon eerst een grote update moet doorlopen.

Naarmate onze afhankelijkheid van de digitale infrastructuur groeit, moet ook de prioriteit voor het oplossen van kwetsbaarheden in die infrastructuur stijgen.

Update 10: transparante updates

En het helpt natuurlijk ook als de gebruiker weet wát hij gaat installeren. Dat soort informatie vind je meestal terug in de zogenaamde change log, het overzicht van de wijzigingen in een app bij een nieuwe versie. Maar wie daar wel eens doorheen loopt (bijvoorbeeld bij de updates van apps op iOS) weet hoe onzinnig die beschrijvingen kunnen zijn. Zo is Spotify's mantra "We’re always making changes and improvements to Spotify." Elke update is dat. Natuurlijk denk je, dat mag je hopen. Maar het zegt niets. Als gebruiker weet je niet of een update de user interface compleet omgooit, of dat er juist een kwetsbaarheid gerepareerd is. Nee, dat kan veel zinvoller, met een nauwkeurige beschrijving van de aanpassingen zodat je als gebruiker weet waar je aan toe bent als je een update installeert. Idealiter wordt die informatie gelaagd aangeboden, zodat reguliere gebruikers als ook beveiligingsexperts ermee uit de voeten kunnen.

Update 11: ook voor de overheid maken we geen uitzonderingen

We willen natuurlijk onze overheid niet op ideeën brengen, maar het lijkt ons vrij triviaal om WhatsApp van een achterdeur te voorzien. Stel dat de politie de berichten van een specifieke gebruiker mee wil kunnen lezen, maar dat niet kan vanwege de zogenaamde end-to-end versleuteling. De politie zou WhatsApp kunnen dwingen om een update naar gebruikers te sturen waarmee de encryptie voor alle berichtjes van en naar die ene gebruiker praktisch gezien wordt uitgeschakeld. Als de politie dan diens verbinding aftapt, kan men de berichten meelezen. Natuurlijk, de eerste keer zal dat bijzonder effectief zijn. Misschien kan de politie daarmee een liquidatie van een crimineel mee voorkomen. Maar wat daarmee ook voorkomen wordt: dat internetgebruikers nog beveiligingsupdates installeren. Zij weten namelijk nooit zeker of niet een of andere overheid dat updatemechanisme misbruikt heeft om de beveiliging juist weer af te zwakken.

En dat vraagt terughoudendheid van overheden: misbruik beveiligingsupdates niet voor offensieve doeleinden.

Update 12: de beveiligingsupdate moet wel gemaakt kunnen worden

Als de fabrikant niet op de hoogte is van een kwetsbaarheid in zijn systeem, dan kan hij er ook geen patch voor schrijven. En zonder die patch kan niemand updaten en blijft elke gebruiker kwetsbaar. Daarom is het belangrijk dat kwetsbaarheden die gevonden worden zo snel mogelijk en verantwoorde wijze aan de fabrikant van de kwetsbare software worden gemeld. De consequentie daarvan: overheden mogen kwetsbaarheden niet geheim houden. Nog een consequentie: overheden mogen de markt voor onbekende kwetsbaarheden niet in stand houden. Om diezelfde reden moeten overheden afzien van de aanschaf van apparatuurOok onze politie gebruik zulke apparatuur voor het uitlezen van in beslag genomen telefoons waarin zulke onbekende kwetsbaarheden worden uitgebuit.

Hoe rollen we deze updates uit?

Als de uitbraak van het WannaCry-gijzelvirus ons een ding geleerd heeft: we moeten serieus werk maken van het oplossen van kwetsbaarheden. En net als het toepassen van beveiligingsupdates zelf, kunnen we ook daar niet vroeg genoeg mee beginnen. Hoe doen we dat? Het antwoord op die vraag is helaas niet makkelijk, maar de hoofdrichting is wel helder.

Fabrikanten gaan de oplossing niet brengen

Het ligt voor de hand om te kijken in de richting van de fabrikanten van hard- en software. Zij ontwikkelen en produceren tenslotte de computersystemen die we op een later moment willen updaten. Investeren in het proces van updaten is echter niet iets waar hun aandeelhouders erg blij van worden: het kost geld en levert weinig op. Dat geldt zeker voor de korte termijn.

Natuurlijk, de bedrijven hebben baat bij gebruikers die een groot vertrouwen hebben in de digitale infrastructuur die ze dagelijks gebruiken. Maar de impact van een vergroot vertrouwen is niet direct merkbaar, zichtbaar of om te zetten in monetair gewin. Het moet ook komen uit de hele branche. Jij kan als enige bedrijf een veilige connected doll op de markt brengen (voor een hogere prijs uiteraard), maar als de rest van de branche er de pet naar blijft gooien zal het vertrouwen niet groeien. Het is niet realistisch te denken dat opeens zo'n hele branche maatschappelijk verantwoord gaat ondernemen. Helaas.

De overheid moet gewenst gedrag afdwingen, ook voor zichzelf

Nee, van de fabrikanten kunnen we bar weinig verwachten. En dat betekent dat hier noodgedwongen een rol voor de overheid is weggelegd. De maatschappelijke belangen zijn domweg te groot om dit op zijn beloop te laten gaan. Die fabrikanten moeten gedwongen worden met wet- en regelgeving. Het is iets dat we ook niet alleen in Nederland kunnen oplossen omdat we voor onze systemen veel te veel afhankelijk zijn van fabrikanten uit anderen landen. Bovendien kunnen we in Nederland nog zo veilige producten hebben, als de rest van de wereld ons aanvalt zijn we alsnog verloren. Idealiter regelen we dit daarom meteen op mondiaal niveau. Maar omdat dat een lastig en veels te langdurig traject is, moet dit snel in Brussel op de agenda. Vergelijk het met autogordels: verplicht vanwege de maatschappelijke schade (en doden) die we anders zouden hebben én het stelt ons in staat om nog harder te rijden zonder al te grote risico's.

Die regels moeten een paar dingen gaan afdwingen. Zo moeten fabrikanten gedwongen worden om veilige protocollen, standaarden en standaardinstellingen te gebruiken. Beveiligingsonderzoekers die op verantwoorde wijze een kwetsbaarheid ontdekken moeten zonder angst voor repercussies die kwetsbaarheid kunnen melden. Bedrijven moeten gedwongen worden snel en adequaat beveiligingsupdates beschikbaar stellen. Daarbij moeten ze bovenstaande updates toepassen. Die nieuwe regels moeten er ook voor zorgen dat bedrijven aansprakelijk gesteld kunnen worden voor de maatschappelijke schade die zij veroorzaken als zij nalatig zijn met de beveiliging van hun producten. En uiteraard: niet alleen de regels, maar ook scherpe handhaving bij overtreding daarna.

Maar de overheid moet ook haar eigen beleid tegen het licht houden. Het kan niet zo zijn dat de overheid de markt voor onbekende kwetsbaarheden, de zogenaamde zero days, in stand houdt of het proces van het installeren van beveiligingsupdates kaapt voor het inbouwen van achterdeurtjes.

Wees kritisch

En wat jij, als internetgebruiker, kunt? Wees kritisch bij de aankoop van je volgende apparaat dat een verbinding met het internet heeft. Lees de kleine letters op de website van de fabrikant, vraag iemand in je omgeving "die alles van computers weet" of informeer bij de verkoper. Koop je een product waarvan je zeker weet dat je gedurende de hele tijd dat je het kunt gebruiken ook beveiligingsupdates beschikbaar zijn?