Oude software en ict-apparatuur die niet meer worden ondersteund, vormen een steeds groter beveiligingsrisico doordat steeds meer apparaten en software aan internet worden gekoppeld. Consumenten zijn zich nauwelijks bewust van de beveiligingsrisico's, daardoor kunnen problemen ontstaan die leiden tot grote economische schade, gebruikers in gevaar brengen of in uiterste gevallen de maatschappij ontwrichten. Dat stellen verschillende organisaties in het rapport 'Cybersecuritybeeld' dat door minister Opstelten van Veiligheid en Justitie naar de Tweede Kamer is gestuurd.
Het Nationaal Cyber Security Centrum (NCSC) schrijft daarin dat de ontwikkeling van ‘het internet der dingen’, waarbij steeds meer apparatuur, inclusief medische apparatuur, maar ook voertuigen, televisies en huishoudelijke apparaten verbonden zijn aan internet, een potentieel beveiligingsrisico vormt. ‘De software in deze apparatuur zal altijd beveiligingslekken bevatten. Veel apparatuur kan niet eenvoudig geüpdatet worden en ook zal niet alle software voor langere tijd door de leverancier onderhouden worden. De apparatuur zal kwetsbaar worden, en gezien de grote afhankelijkheid ontstaat een potentieel probleem met het waarborgen van de maatschappelijke veiligheid.’
NCSC schrijft: Door de steeds verdergaande koppeling met internet kunnen kwetsbaarheden op afstand misbruikt worden, waardoor de werking van producten verstoord kan worden. Dit kan leiden tot ernstige economische problemen en kan mogelijk zelfs gebruikers fysiek in gevaar brengen.’ Het stelt bovendien dat leveranciers van hardware en consumentenproducten vaak helemaal niet zijn toegerust op ondersteuning en aanpassing van hun producten, nadat deze eenmaal aan de consument zijn geleverd.
Het wijst op softwarefabrikanten die de ondersteuning en doorontwikkeling van oude software beëindigen terwijl die vaak nog in gebruik blijft. ‘Beveiligingslekken worden dan niet meer opgelost.’ Daarbij verwijst NCSC naar het staken van de ondersteuning van Windows XP door Microsoft (8 april 2014) terwijl die software nog steeds door privé-gebruikers, overheden en bedrijven in gebruik is.
Oplossing?
NSCS: ‘Op dit moment is er ook nog geen duidelijke oplossingsrichting. Er doemen een aantal vragen op waar nog geen algemene consensus over bestaat: Wat mag de redelijke verwachting van de economische levensduur van een geautomatiseerd product zijn?
Op basis van welke criteria kan gekozen worden om de softwareondersteuning van een product te beëindigen? Hoe kunnen fabrikanten, leveranciers en gebruikers worden aangespoord zich verantwoordelijk te voelen voor het onderhoud van hun producten?’, zijn vragen die in het rapport worden genoemd.
Het noemt enkele oplossingen die voor de hand lijken te liggen, zoals een onderhoudsverplichting, maar plaatst de kanttekening dat het verplichten van leveranciers tot het blijven ondersteunen van software ertoe leidt dat de kosten doorberekend worden aan consumenten. ‘Gezien de snelheid van veranderingen in de ict zou dit kunnen leiden tot kosten die niet in verhouding staan tot de baten, en een afname van het innovatieve karakter van de industrie.’
‘Self-destruct’
Een ander punt dat wordt genoemd is een houdbaarheidsdatum. ‘Bij het toevoegen van een houdbaarheidsdatum op producten stijgt het bewustzijn van consumenten, maar er is niet noodzakelijkerwijs een verband tussen bewustwording en het ernaar handelen (bij software wordt dit vaak duidelijk gecommuniceerd red.). Er bestaan bovendien grote verschillen in de periode waarin consumenten gebruik blijven maken van apparatuur, waardoor het een optie zou kunnen zijn om een ‘self-destruct’ in apparaten te bouwen.’
Oplossing is heel duidelijk. Verouderde apparatuur überhaupt niet aan het internet knopen. Daar had men bij het aanschaffen hiervan al lang rekening gehouden moeten worden. We hebben vele jaren lang zonder kunnen doen dus zou het ook geen probleem moeten zijn om even te wachten totdat de grootste risico’s zijn aangepakt. En helemaal zeker ben je nooit dus daar dien je ook rekening mee te houden in risico analyses.
Dus bijvoorbeeld een besturing van een kerncentrale hoort nooit via het internet mogelijk te zijn.
En het internet of things is maar beperkt inzetbaar als het niet om privacy gevoelige zaken gaat.
Een selfdestruct in apparaten inbouwen? Als dat wordt ontdekt zal de fabrikant ook niet lang meer leven!
Gelukkig zijn (is) er ook een fabrikant die 20 jaar garantie geeft. Effectief. Overdraagbaar. (Bryston)
Gewoon niet alles aan internet hangen. Sommige dingen eventueel op een eigen netwerk.
Medisch gebruikte computers bij voorbeeld zouden totaal geen internetverbinding mogen hebben. Wil een medicus iets op internet dan zou hij daarvoor een aparte computer moeten hebben, zonder enige verbinding met de medische computers.
Waarom krijg ik het gevoel dat dit nauwelijks serieus bedoeld is?
Wie een machine zelf bouwt en er Linux op zet past niet in dit consumerbeeld. Ook niet wie een serverpark bouwt met linux.
Dat slechts als voorbeeld.
Tussen apparaat en internet zit nog steeds een isp en daar wil Opstelten naartoe, volledige controlle voor een beetje schijnveiligheid.
Met politici is het oppassen geblazen en zeker met Opstelten.
@Jan van Leeuwen
Elke applicatiestack, hoe klein ook, zal je moeten blijven updaten. Tevens zal je ook extra maatregelen moeten treffen in de vorm van ACL-files, firewalls, permissies, authorizaties etc. etc.
Het is onzin om te zeggen dat een OS intrinsiek veilig is.
Recent ontmoette ik een ICT-er, zijn naam kwam mij bekend voor, en het bleek dat het de auteur was van een rapporteringssysteem dat in gebruik is bij een klant van mij, die SW draait op een iSeries. Ik wist wel dat het pakket ontwikkeld was op een systeem 36 (S36) maar het bleek dat dit al 25 jaar geleden ontwikkeld en geinstalleerd was op de vorige machine, een S 36. Het enige wat bij de omschakeling van de S36 gebeurde was de broncode compileren en de interface aanpassen aan de nieuwe ERP toepassing.
Mijn klant zal het artikel met verbazing bekijken.
Als we de consumenten even buiten beschouwing laten, maar puur op de zakelijke markt richten, dan is het gebruik van zwaar verouderde software toch echt een problem dat door goede financiele planning opgelost kan worden. Als je nu al weet dat Windows 8 bijvoorbeeld in 2022 ‘end of life’ is, dan kan je bij invoering van dit system op je zaak al meteen budget reserveren voor vervanging in 2022.
Als ik zie hoeveel bedrijven nog op oude software drijven, simpelweg omdat vervanging nooit goed gebudgetteerd is, en hoe ze dan klagen op andere partijen omdat Database versie X niet meer draait op OS versie Y. Asl je fatsoenlijke Lifecycle Management loslaat op je IT voorziening, dan hoeft dit allemaal niet. Maar ja, hoe krijg je dan je Business Case er door….
De redelijke verwachting van de economische levensduur van een geautomatiseerd product is wat je er samen met je leverancier aan vast hangt. VOor het ene product kan dat 3 jaar zijn, voor het andere 10 of 20 jaar. Maar stel die vraag, en calculeer dat mee in je totale kosten. Als je weet dat je over 10 jaar een product moet vervangen, weet je toch dat je over 10 jaar budget moet hebben.
En om de consument er dan bij te betrekken. ALs je vandaag een PC koopt, weet je toch ook dat je over zo’n 5 jaar een nieuwe zou moeten kopen. Koop er dan geen die zoveel van je inkomen opslokt dat je over 5 jaar nog steeds afbetaald. Het overgrote deel van de autobezitters koopt toch ook om de zoveel jaar een andere? Zeker als de onderhoudskosten gaan toenemen….
@kl
Waar heb ik dat beweerd?
“Het is onzin om te zeggen dat een OS intrinsiek veilig is.”
@Jan van Leeuwen
Je zegt: “Wie een machine zelf bouwt en er Linux op zet past niet in dit consumerbeeld”. Maar of je nu wel of niet in dat beeld past doet niet terzake want uiteindelijk stel je je infrastructuur bloot aan dezelfde risico’s.
Opstelten is een zeer gevaarlijke man. Als voorbeeld een recentelijk wetsvoorstel om de digitale communicatie beter te beschermen om dit in lijn met Europese wetgeving te stroomlijnen. Maar het addertje onder het gras is dat er zonder tussenkomst van een rechter de minister wel een ‘bevoegde autoriteit’ digitale communicatie in mag laten zien. Dat is natuurlijk ontoelaatbaar. Zulke gevallen hebben we niet voor niets de trias politica voor en laat zoiets in hemelsnaam aan een rechter over.
http://tweakers.net/nieuws/97255/kabinet-wil-met-grondwetswijziging-inhoud-digitale-communicatie-beschermen.html
@Jos de Clercq,
Wij draaien ook met software die twintig jaar geleden zelf ontwikkeld is en die wij met een zeer klein team zelf bijhouden en uitbereiden.
Elke keer als er gebruik gemaakt wordt van kant en klaar produkten van zeer gerenomeerde bedrijven lijdt dat tot hopeloze elende en heb je hele volksstammen nodig om de chaos op te lossen man man man.
Oude meuk moet je gewoon bijhouden, dan werkt dat verder zonder problemen.
Toegegeven, nieuwe mensen vinden die in staat zijn op dat niveau te denken en te werken zijn nauwelijks nog te vinden (de eeuwige discussie over zeer gebrekkige opleiding)
@Jan van Leeuwen, mee eens maar er is werkelijk meer in de wereld dan Linux !
Sommige Linux distributies (en het overgrote deel van de Linux beheerders) mijn ik ook liever !