Weinig Nederlandse en Belgische organisaties die vatbaar zijn voor de SolarWinds-hack, hebben maatregelen getroffen om misbruik te voorkomen. Waarom eigenlijk?
Honderden Nederlandse organisaties gebruiken nog steeds een besmette versie van Orion-monitoringsoftware van SolarWinds. Daardoor is het niet uitgesloten dat hackers onopgemerkt in hun systemen kunnen grasduinen. Toen de kwetsbaarheid in december in het nieuws kwam, waren grote afnemers van de software er als de kippen bij om schade te beperken.
Toch blijkt uit een rondvraag door Computable dat potentieel gedupeerde bedrijven en instellingen het massaal nalaten om zich te beschermen tegen misbruik van de kwetsbaarheid in de Orion-software. Zelfs gemakkelijke maatregelen, zoals het blokkeren van gevaarlijke ip-adressen en het patchen van servers, hebben velen nog steeds niet genomen.
Hoe is het mogelijk?
Hoe is het mogelijk dat veel Nederlandse en Belgische organisaties de kwetsbaarheid in de software van SolarWinds niet verhelpen? Zijn ze er nog steeds niet van op de hoogte? Zien ze het gevaar niet in? Vertrouwen ze op hun firewall en antivirussoftware? Ondervindt de it-afdeling te veel werkdruk?
Wat vindt u? Zijn er moverende redenen te bedenken om zulke kwetsbaarheden niet te dichten? Moet elke organisatie die de besmette versie van netwerkmonitoringtool SolarWinds Orion gebruikt, niet direct actie ondernemen om te voorkomen dat hackers kunnen grasduinen op het netwerk?
Ik heb vanaf de zijlijn de berichtgeving een beetje gevolgd en hoor van ex-collega’s in de VS dat overheid en bedrijven als een maniak maatregelen aan het treffen zijn. Patches, firewall settings en nog veel meer.
Wat het in mijn ogen nog veel ernstiger maakt is combinatie van het Orion lek (en misschien wel meer producten van anderen) met de diefstal van de toolbox van Fireeye waarmee de meest geavanceerde pen-test methodes op straat liggen. De combinatie van deze twee gebeurtenissen is op z’n minst reden tot ‘zorgen’.
Maar zoals zo vaak wordt de intelligentie van hackers onderschat en de eigen kennis (of de kennis die we inhuren) overschat en wordt er vooral gereageerd op nieuws in plaats van pro-actief gedacht over de gevaren van dit soort hacks. Op het moment dat berichten als deze naar buiten komen zou je verwachten dat ieder bedrijf een noodprocedure heeft waarbij als eerste het risico wordt ingeschat om daarna met een team dat volldige focus heeft op DIT probleem patches aan te brengen en indien nodig noodverbanden te leggen.
Het feit dat je iets niet ziet ( https://www.computable.nl/artikel/nieuws/security/7119841/250449/ncsc-ziet-geen-misbruik-van-solarwinds-bij-rijk.html) betekend niet dat het er niet IS…..