Het zal je maar gezegd worden! Volgens onze Minister van Justitie ben je een ‘ongelofelijke oliebol’ als je noodzakelijke veiligheidsmaatregelen niet neemt om je IT-omgeving te beveiligen. Dat bedrijfsprocessen stil gelegd moeten worden voor een update of dat er nieuwe hardware aangeschaft moet worden is geen excuus. Aldus de minister gaat de overheid harder optreden tegen bedrijven die hun internetbeveiliging niet op orde hebben. Het kabinet wil bedrijven of organisaties die het publiek blootstellen aan risico’s omdat ze hun computernetwerken niet goed beschermen tegen storingen en aanvallen van hackers, harder kunnen aanpakken. Met boetes, of desnoods door zelf in te grijpen.
Is het zo eenvoudig?
Maar heeft Grapperhaus zo makkelijk praten? Dat valt te betwijfelen. Uit een rondgang van Tweakers blijkt dat veel gemeenten bijvoorbeeld nog niet geüpgraded hebben van Windows 7 naar Windows 10. En lang niet allemaal verwachten ze dat wel gedaan te hebben op 14 januari 2020. De ondersteuning op Windows 7 stopt per die datum, wat betekent dat Microsoft geen patches en updates meer zal uitbrengen die de beveiliging van het besturingsysteem verhogen.
Saillant detail is dat De Volkskrant op 28 september 2019 nog een artikel publiceerde waarin zij stelde dat het interne netwerk van honderden bedrijven in Nederland, waaronder het ministerie van Justitie en Veiligheid maandenlang wagenwijd open lag voor kwaadwillenden.
Makkelijk praten
Het lijkt er dus op dat Grapperhaus makkelijk praten heeft. En dat hij niet op de hoogte is van de afwegingen die door veel organisaties gemaakt worden om systemen wel of niet te patchen of updaten. Uiteraard zijn er ook organisaties die deze afwegingen niet bewust maken, maar om iedereen over een kam te scheren gaat mij te ver. Er kunnen namelijk verschillende redenen zijn waarom organisaties ervoor kiezen om (nog) niet te patchen of te updaten:
De businesscase klopt niet
Stel dat de mogelijke schade van een incident € 1.000,- is en het voorkomen ervan € 10.000,- kost, dan kan het een goede afweging zijn die investering niet te doen. Zeker als je je er op andere manier van verzekerd hebt dat je schade snel kunt herstellen en financiële schade afgedekt hebt.
Het primaire bedrijfsproces komt stil te liggen
Het is mogelijk dat een patch of een update ervoor zorgt dat het ene systeem veiliger wordt, maar dat een ander systeem of proces daarna niet meer werkt. Wat heeft een organisatie eraan dat zij ‘veilig is’ terwijl de medewerkers niet kunnen werken?
Kinderziekten
Veel organisaties wachten met het installeren van service packs en nieuwe softwareversies totdat de eerste updates daarvoor uitgebracht zijn. Zij willen hun bedrijfskritische IT-processen geen risico laten lopen door kinderziekten in een patch of upgrade.
Andere hardening maatregelen
In sommige gevallen kan het zo zijn dat een organisatie andere maatregelen getroffen heeft om het misbruik van een kwetsbaarheid te voorkomen. Een mooi voorbeeld hiervan is de mogelijkheid van cross-site-scripting in een webapplicatie. Je kunt die oplossen door alle formulieren in je webapplicatie opnieuw te programmeren, maar je kunt ook misbruik voorkomen door de juiste headers in te stellen op je webserver en een content security policy in te stellen. Om te zien hoe dat werkt, check: https://quickscan.guardian360.eu/nl.
Scope is te groot
Zeker voor organisaties die internationaal werken is de scope van beheer zo groot, dat het simpel weg niet te doen is om binnen een paar weken alle machines en software te voorzien van patches en updates. Zeker wanneer het om ingrijpende updates gaat, die eerst goed getest moeten worden, is het voor een IT-afdeling niet te doen om snel te handelen.
Naming and shaming
Patch of update je niet omdat je daar geen beleid voor hebt, niet op de hoogte bent of informatiebeveiliging niet belangrijk genoeg vindt, dan zou het een minister sieren om die mensen juist op een positieve manier op hun verantwoordelijkheid te wijzen. Door mensen uit te schelden of voor gek te zetten gaan ze echt niet beter hun best doen. Door te laten zien hoe makkelijk het kan zijn en welke (business) voordelen het heeft om je zaakjes op orde te hebben wel!
Handhaving
Hoe de minister het ingrijpen bij organisaties wil regelen is mij overigens onduidelijk. Op welke grond dat zou moeten, om welke redenen het zou moeten kunnen en, misschien wel het aller belangrijkst, waar de minister de capaciteit vandaan gaat halen dit te doen. Hoe gaat iemand binnen een handhavende organisatie bepalen dat en organisatie in overtreding is en een boete moet betalen? En hoe gaat dat ervoor zorgen dat het Nederlandse IT-landschap veiliger wordt is niet helder. Angst is een slechte raadgever, laten we ervoor zorgen dat ondernemers en managers niet vanuit die angst niet-werkende oplossingen gaan kopen om boetes te voorkomen. Daar wordt het allemaal echt niet veiliger van!
Bronnen: