Patchen na verloop van tijd is passé, dat maakt ransomware WannaCry nu wel duidelijk. Dit is de discussie-stelling die Computable-lezers vandaag krijgen voorgelegd.
De massale uitbraak van de ransomwareworm WannaCry heeft de wereld met de neus op een pijnlijk feit gedrukt. Patchen gebeurt nog altijd niet tijdig. Want deze digitale gijzelingsplaag benut een gat waarvoor Microsoft al in maart een patch heeft uitgebracht. Natuurlijk, kostbare en oude medische apparatuur in ziekenhuizen valt niet altijd – of zelfs helemaal niet – te patchen. Dit vanwege vereisten voor support of zelfs weggevallen leveranciers van die computergestuurde apparatuur. Maar WannaCry heeft ook gewone pc’s flink geraakt, bij uiteenlopende organisaties en bedrijven.
De aangerichte schade is dan ook enorm, alleen al aan uren die ict-professionals en security-experts kwijt zijn aan reddingswerk na de ramp. Dit werk bestaat uit gegijzelde pc’s proberen te herstellen, back-ups terugzetten, firewalls en securitysoftware bijstellen, beleid aanscherpen, en nog veel meer activiteiten. Daarnaast is er nog de schade van weggevallen productiviteit doordat gewone werknemers hun werk niet konden doen. Patchen moet dus pronto, voortaan altijd. Wat vind jij?
@Jan
Clapper had al lang de laan uitgestuurd moeten worden want hij heeft tegen het Amerikaanse congres glashard gelogen.
@Ewout
Helemaal met je eens. Alleen je voorbeeld is wat minder goed gekozen.
Misschien kun je het wel vergelijken met het verplicht stellen van autogordels. Dat heeft destijds ook wel een poos geduurd voordat mensen doorhadden dat dit toch wel verstandig is om jezelf te beschermen.
En daarom is de aankomende privacy wetgeving een mooie stok achter de deur om toch security patchen af te dwingen bij de business. Die luisteren wel als er een dikke boete op de loer ligt. (die ze niet op het systeembeheer kunnen afschuiven)
Als Microsoft heb je toch wel een beetje boter je hoofd…uiteindelijk wordt het probleem veroorzaakt door software fouten in het besturingssysteem…
Daarnaast is de communicatiesoftware onderdeel van het probleem.
We kunnen doorgaan met symptoombestrijding en in een “wedstrijd” die niet te winnen is hopen de schade te beperken.
We kunnen ook beginnen met het werken aan een oplossing: een intrinsiek veilig besturings- en communicatie systeem. Het kan. Het zou moeten. Maar er is een geschiedenis, gemaakt door onze ICT-helden uit het verleden. Als samenleving zijn die individuele, private producten te duur om te blijven gebruiken. Ego, wie start het alternatief? Het bedrijfsleven? Het onderwijs? De overheid? Of gaan we nog even door totdat het IoT ons leert dat het anders moet. Om erger te voorkomen…
@ dickvanelk,
Waarom schrijf je je niet in voor Utopia. Daar zou je best een dergelijke verandering van de grond kunnen krijgen. In de wereld waarin we nu leven is de business echter zeer afhankelijk van bedrijven als Microsoft, Amazon, NTT en Oracle. Zij schrijven de code met de beste intentie!
Je kan beter de uitbuiters van de fouten goed bestraffen. Als jij met ransomware een ziekenhuis plat legt is dat geen fout van Microsoft maar een bewuste aanval. Opsporen de mensen die dit doen en aanklagen voor poging tot moord.
Maar om hier Microsoft de schuld van te geven??
Zijn we afhankelijk van Amazon en Oracle? Is me nog nooit opgevallen, volgens mij zijn daar gewoon andere keuzes voor.
Barbertje moet blijkbaar hangen want ik stelde in voorgaande reactie dat vooral de business boter op zijn hoofd heeft. Dat ransomware een ziekenhuis plat legt geeft te denken over de kwetsbaarheid van een kritische infrastructuur, we hebben eerder dit soort aanvallen gehad:
https://zoek.officielebekendmakingen.nl/kst-26643-30.pdf
Over de te grote afhankelijkheid in de kritische infrastructuur heb ik hier al eens wat geschreven
want ICT-helden uit het verleden zijn veel te duur waardoor er vaak meer geld uitgegeven wordt aan marketing dan de beveiliging. Het verschil tussen erkende security bugs en een backdoor is alleen maar een kwestie van geloofwaardige onkenning.
Zolang ICT – net als onze Defensie – aangestuurd wordt door boekhouders en juristen zullen we dus verrast blijven worden door dit soort discontinuïteit. En daar kunnen we Microsoft de schuld van geven maar de afweging tussen een oplossing kopen en maken is gewoon een economisch besluit:
‘If a country loses data sovereignty (in exchange for #Microsoft patches), they also lose political sovereignty and security’ – Caspar Bowden
@Dick van Elk
Een intrinsiek veilig systeem is een utopie omdat bouwen en onderhouden een trade-off/balans/keuze is t.a.v. kosten, kwaliteit en eigenaarschap.
Als Microsoft heb je toch wel een beetje boter je hoofd…uiteindelijk wordt het probleem veroorzaakt door software fouten in het besturingssysteem…
Daarnaast is de communicatiesoftware onderdeel van het probleem.
We kunnen doorgaan met symptoombestrijding en in een “wedstrijd” die niet te winnen is hopen de schade te beperken.
We kunnen ook beginnen met het werken aan een oplossing: een intrinsiek veilig besturings- en communicatie systeem. Het kan. Het zou moeten. Maar er is een geschiedenis, gemaakt door onze ICT-helden uit het verleden. Als samenleving zijn die individuele, private producten te duur om te blijven gebruiken. Ego, wie start het alternatief? Het bedrijfsleven? Het onderwijs? De overheid? Of gaan we nog even door totdat het IoT ons leert dat het anders moet. Om erger te voorkomen…