‘Hadden ze hun systemen maar moeten updaten.’ Die uitspraak heb ik de afgelopen dagen vaak gehoord naar aanleiding van de WannaCry worm – helaas ook uit de mond van computerexperts. Was het maar zo simpel. U en ik kunnen onze computers inderdaad makkelijk updaten, maar in complexe omgevingen is dat een helse klus.
Neem de Britse ziekenhuizen die al vroeg door WannaCry werden getroffen. Veel apparaten die scans maken – van echo’s tot CT of MRI – draaien onder Windows XP. Dat valt die ziekenhuizen niet kwalijk te nemen, wél de fabrikanten ervan; maar die denken amper aan bescherming tegen virussen of hackers. Wanneer je zulke oude computers in je ziekenhuisnetwerk hebt, kun je de updates van andere computers niet klakkeloos installeren: voor je het weet kan je imaging software niet meer met de rest van de ziekenhuissystemen praten. Elke update of patch vergt derhalve een plan, uitgebreid vooronderzoek, en gedegen testen.
Bovendien heb je daarvoor budget nodig: tijd is geld, ook in de gezondheidszorg. En net als in Nederland zit de gezondheidszorg in Engeland buitengewoon krap in beide. Het geld dat hen voor ICT is toebedeeld, wordt bovendien verslonden door het vermaledijde elektronisch patiëntendossier. Dus verwijt die ziekenhuizen die ineens al hun patiëntgegevens gegijzeld zagen alsjeblieft niets: heus, dat komt neer op blaming the victims.
Wie wel schuld draagt? Allereerst natuurlijk de bende die deze worm op internet heeft losgelaten. Hoe haal je het in je hoofd om massaal een virus te verspreiden dat ziekenhuizen, energiebedrijven en nucleaire onderzeeërs treft (ja, ook die draaien vaak nog op Windows XP)?
Maar de meeste blaam treft de NSA, de Amerikaanse veiligheidsdienst. De WannaCry worm maakt vrijwel zeker gebruik van een uitgelekt beveiligingsgat dat eigenhandig door de NSA is ontwikkeld. Recent dumpten de Shadow Brokers een grote hoeveelheid zogeheten zero day exploits, oftewel gaten in software die nog niet bij de fabrikant bekend waren. De NSA benut zulke lekken en denkt dat ze, door die voor zich te houden, het alleengebruik erover heeft. Na de datadump hebben tal van softwarehuizen, waaronder MicroSoft, allerijl patches uitgebracht.
Maar dat mocht in dit geval niet baten: onder meer omdat Windows XP al een paar jaar geleden ‘obsolete’ is verklaard en dus niet meer wordt onderhouden. (Het siert MicroSoft zeer dat ze afgelopen weekend subiet een patch voor XP, Windows 8 en Windows Server 2003 uitbrachten waarmee je het NSA-lek alsnog kunt dichten.)
Wat de WannaCry-uitbraak vooral duidelijk maakt: veiligheid is geen veiligheid wanneer risico’s geheim worden gehouden, noch wanneer de bescherming ertegen alleen in handen is van overheidsorganisaties die menen diezelfde lekken te eigen bate te mogen aanwenden, en ze om die reden niet openbaar maken – of zelfs, zoals nu het geval was, verder uit wil ontwikkelen.
Het echte nieuws over WannaCry is dat MicroSoft een zeer strenge waarschuwing uitdeelde aan overheidsdiensten die denken dat ze lekken voor zichzelf kunnen houden. ‘Overheden overal ter wereld moeten dergelijke kwetsbaarheden niet langer verzamelen, maar ze delen met fabrikanten en gebruikers. Doen ze dat niet, dan worden burgers daar het slachtoffer van.’
Overigens: ook de Nederlandse veiligheidsdiensten verzamelen graag zulke gaten, en houden die voor ons geheim. Ons parlement vond dat een goed idee. Nu weten we exact waarom dat ronduit stupide is.
Ik hoop dat naast die veiligheidsdiensten ook de leveranciers van die systemen wakker worden (vrees van niet) en dat er in ziekenhuizen en elders eens gekeken wordt waarom zo’n computer waar geen updates meer voor verschijnen uberhaupt aan het internet moet hangen. Dat geld wat aan het EPD wordt uitgegeven had natuurlijk ook aan nuttiger zaken besteed kunnen worden, verplegend personeel bijvoorbeeld
Danny, zo’n computer hangt niet aan internet, maar zit wel in het netwerk. Wanneer je met een wormaanval hebt te maken, belandt zo’n virus bijna overal – en dus ook daar.
Karin: dan hangt zo’n netwerk nog steeds aan het internet, maar dat had ik zeker wat helderder kunnen formuleren :)
Nu snap ik waarom je bv in het olvg van sommige scans geen foto, maar een verslagje in woorden krijgt. Kwam mij zo archaisch over dat er geen beelden doorgestuurd kunnen worden. U