Cybersecurity wordt nog altijd niet serieus genomen, zie de impact van WannaCry. Dit is de discussie-stelling die Computable-lezers vandaag krijgen voorgelegd.
Security-experts als Ronald Prins van Fox-IT zijn een roepende in de woestijn. Cybersecurity krijgt nog altijd niet genoeg aandacht, weten zij de wereld telkens weer voor te houden. Niet alleen de ict-wereld maar ook de bredere, algemene wereld is schuldig aan verwaarlozing van cybersecurity. Het nieuwste bewijs is de enorme, wereldwijde impact van ransomware WannaCry die als worm zichzelf volautomatisch verspreidt.
Naast een duidelijk gebrek begin mei aan installaties van de patch die Microsoft al medio maart heeft uitgebracht, speelt er in deze zaak nog een aandachtsgebrek voor cybersecurity. Een deel van de door WannaCry geïnfecteerde organisaties blijkt allang niet meer ondersteunde Windows-versies te gebruiken. Microsoft heeft zich zelfs genoodzaakt gezien om Windows XP en Server 2003 te patchen. Het heeft de update vrijgegeven die het heeft gemaakt voor klanten die betalen voor custom support op de antieke Windows-versies. Op oud besturingssysteem blijven zitten, zónder (custom) support en kennelijk ook zonder goede isolatiemaatregelen. Cybersecurity is een ondergeschoven kindje. Wat vind jij?
Lees dit artikel ook: http://www.theregister.co.uk/2016/09/23/if_your_company_has_terrible_it_security_that_could_be_a_rational_business_decision/
Net te vergeten dat een oorzaak van het probleem was dat geheime diensten 0day aan het sprokkelen waren. Die dus ontvreemd zijn door criminelen die gretig misbruik maken van bekend fouten. Maar die gepatched horen te worden door de software ontwikkelaars en uitgevoerd door de beheerders.
Doorgaan met symptoombestrijding (bau) of het werkelijke probleem aanpakken en oplossen?
Bau: de “wedstrijd” beveiligen-hacken/cybercrime voortzetten en hoe dan ook verliezen, alleen al door de kosten van het voortzetten van de beveiligingswedstrijd. Of beginnen met het werken aan een echte oplossing: een intrinsiek veilig besturings- en communicatie systeem. Het kan. Het zou moeten. Maar er is een geschiedenis, gemaakt door onze ICT-helden uit het verleden. Als samenleving zijn die individuele, private producten te duur om te blijven gebruiken. Ego, wie start het alternatief? Het bedrijfsleven? Het onderwijs? De overheid? Of gaan we nog even door totdat het IoT ons leert dat het anders moet. Om erger te voorkomen…
Het op de markt zetten van een os die niet secure te krijgen is, ondanks de winsten en budgetten. Het probleem afwimpelen op de gebruiker. Terwijl de opensource ossen met veel minder budgetten er veel beter van afkomen, dit komt omdat de source en code openbaar is en er geen geheimen zijn.
Doorgaan met symptoombestrijding (bau) of het werkelijke probleem aanpakken en oplossen?
Bau: de “wedstrijd” beveiligen-hacken/cybercrime voortzetten en hoe dan ook verliezen, alleen al door de kosten van het voortzetten van de beveiligingswedstrijd. Of beginnen met het werken aan een echte oplossing: een intrinsiek veilig besturings- en communicatie systeem. Het kan. Het zou moeten. Maar er is een geschiedenis, gemaakt door onze ICT-helden uit het verleden. Als samenleving zijn die individuele, private producten te duur om te blijven gebruiken. Ego, wie start het alternatief? Het bedrijfsleven? Het onderwijs? De overheid? Of gaan we nog even door totdat het IoT ons leert dat het anders moet. Om erger te voorkomen…
Cybercriminelen zij meestal in het voordeel omdat de bestrijding altijd defensief is. Securitymaatregelen zijn ook vaak de sluitposten in ICT projecten, dat mag niet te veel kosten. Hierdoor komen er vaak kwetsbaarheden in productionele omgevingen.
Verbetering kan worden afgedwongen door wetgeving waarin aansprakelijkheidsoor bestuursleden van organisaties en sancties worden geregeld.