Oude software en ict-apparatuur die niet meer worden ondersteund, vormen een steeds groter beveiligingsrisico doordat steeds meer apparaten en software aan internet worden gekoppeld. Consumenten zijn zich nauwelijks bewust van de beveiligingsrisico's, daardoor kunnen problemen ontstaan die leiden tot grote economische schade, gebruikers in gevaar brengen of in uiterste gevallen de maatschappij ontwrichten. Dat stellen verschillende organisaties in het rapport 'Cybersecuritybeeld' dat door minister Opstelten van Veiligheid en Justitie naar de Tweede Kamer is gestuurd.
Het Nationaal Cyber Security Centrum (NCSC) schrijft daarin dat de ontwikkeling van ‘het internet der dingen’, waarbij steeds meer apparatuur, inclusief medische apparatuur, maar ook voertuigen, televisies en huishoudelijke apparaten verbonden zijn aan internet, een potentieel beveiligingsrisico vormt. ‘De software in deze apparatuur zal altijd beveiligingslekken bevatten. Veel apparatuur kan niet eenvoudig geüpdatet worden en ook zal niet alle software voor langere tijd door de leverancier onderhouden worden. De apparatuur zal kwetsbaar worden, en gezien de grote afhankelijkheid ontstaat een potentieel probleem met het waarborgen van de maatschappelijke veiligheid.’
NCSC schrijft: Door de steeds verdergaande koppeling met internet kunnen kwetsbaarheden op afstand misbruikt worden, waardoor de werking van producten verstoord kan worden. Dit kan leiden tot ernstige economische problemen en kan mogelijk zelfs gebruikers fysiek in gevaar brengen.’ Het stelt bovendien dat leveranciers van hardware en consumentenproducten vaak helemaal niet zijn toegerust op ondersteuning en aanpassing van hun producten, nadat deze eenmaal aan de consument zijn geleverd.
Het wijst op softwarefabrikanten die de ondersteuning en doorontwikkeling van oude software beëindigen terwijl die vaak nog in gebruik blijft. ‘Beveiligingslekken worden dan niet meer opgelost.’ Daarbij verwijst NCSC naar het staken van de ondersteuning van Windows XP door Microsoft (8 april 2014) terwijl die software nog steeds door privé-gebruikers, overheden en bedrijven in gebruik is.
Oplossing?
NSCS: ‘Op dit moment is er ook nog geen duidelijke oplossingsrichting. Er doemen een aantal vragen op waar nog geen algemene consensus over bestaat: Wat mag de redelijke verwachting van de economische levensduur van een geautomatiseerd product zijn?
Op basis van welke criteria kan gekozen worden om de softwareondersteuning van een product te beëindigen? Hoe kunnen fabrikanten, leveranciers en gebruikers worden aangespoord zich verantwoordelijk te voelen voor het onderhoud van hun producten?’, zijn vragen die in het rapport worden genoemd.
Het noemt enkele oplossingen die voor de hand lijken te liggen, zoals een onderhoudsverplichting, maar plaatst de kanttekening dat het verplichten van leveranciers tot het blijven ondersteunen van software ertoe leidt dat de kosten doorberekend worden aan consumenten. ‘Gezien de snelheid van veranderingen in de ict zou dit kunnen leiden tot kosten die niet in verhouding staan tot de baten, en een afname van het innovatieve karakter van de industrie.’
‘Self-destruct’
Een ander punt dat wordt genoemd is een houdbaarheidsdatum. ‘Bij het toevoegen van een houdbaarheidsdatum op producten stijgt het bewustzijn van consumenten, maar er is niet noodzakelijkerwijs een verband tussen bewustwording en het ernaar handelen (bij software wordt dit vaak duidelijk gecommuniceerd red.). Er bestaan bovendien grote verschillen in de periode waarin consumenten gebruik blijven maken van apparatuur, waardoor het een optie zou kunnen zijn om een ‘self-destruct’ in apparaten te bouwen.’
@pascal “Oude meuk moet je gewoon bijhouden, dan werkt dat verder zonder problemen.
Toegegeven, nieuwe mensen vinden die in staat zijn op dat niveau te denken en te werken zijn nauwelijks nog te vinden (de eeuwige discussie over zeer gebrekkige opleiding)”
Zou het niet meer liggen aan het feit dat het 20-jaar oude software is waardoor alleen de oude garde (die het zelf ontworpen heeft) het beste snapt? Lijkt me inderdaad lastig om dat als nieuweling even te doorgronden.
Ook heb ik ervaren dat op de universiteit zeer slimme IT studenten rondlopen, maar goed…die worden in mum van tijd consultant, architect e.d. en geen developer/beheerder van 20 jaar oude software. Dat zal ook ongetwijfeld meespelen.
Ik zie het al voor me. Consultants die in hun T-fordjes naar de klant gaan om antieke IT-problemen op te lossen.
Ik kan me natuurlijk vergissen maar als er gedacht wordt over de economische levensduur dan is het misschien handig als je voorkomt dat je daarbij afhankelijk wordt van de leverancier, aanschaffen van COTS software is gewoon uitbesteding welke je afhankelijk maakt van anderen.
Best grappig om te lezen over ‘self-destruct’ maar waarom zou je iets weg moeten gooien wat nog prima in orde is, dat is hetzelfde als een houdbaarheidsdatum op een pak zout zetten. Zal dan ook maar niet in gaan op de houdbaarheidsdatum van Opstelten.
@Ewout wat een bescheidenheid over de houdbaarheidsdatum van heer O., (die ander)
zo ken ik je niet,
maar laat ik dan maar de aftrap nemen: die is al wat jaren verstreken, zelfs voor de v… bank
@kj
het artikel gaat uit van de consumentenmarkt en spreekt alleen over leveranciers en klanten.
Er wordt voorbij gegaan aan het feit dat er ook zoiets als linux bestaat dat geen “leverancier” heeft en dus nooit een houdbaarheidsdatum kan krijgen.
Hoe wil je met de GPL regelen dat de vele apparaten met embedded linux een houdbaarheidsdatum krijgen?
Juist bij zoiets als “the internet of things” loop je aan tegen een enorme hoeveelheid apparaten met embedded linux, kijk maar naar android en hoe het onderhoud daar gebeurt, mondjesmaat en niet iedere smartphone leverancier levert updates.
Bij routers is het een ramp kijk maar naar de problemen die Fritzbox had. Overigens ook embedded linux.
Volgens mij is de houdbaarheidsdatum van Opstelten lang voorbij, begint al te ruiken.
Volgens geeft Micrisoft als een van de weinigen aan wanneer software obsolete wordt en niet meer ondersteund. Gemiddeld is de cycle 10 jaar na het verschijnen Het in de lucht houden van niet ondersteunde software is kostbaar, denk alleen maar aan het testen van hardware met verouderde software en het patchen of zomeren van apparatuur om het nog maar veilig te houden.
Gewoon zorgen dat de zaken op orde zijn is het beste advies en plannen dat je om de 7 jaar grootschalig onderhoud moet starten.