Overheid maakt internet kwetsbaar

COLUMN - ‘Hadden ze hun systemen maar moeten updaten.’ Die uitspraak heb ik de afgelopen dagen vaak gehoord naar aanleiding van de WannaCry worm – helaas ook uit de mond van computerexperts. Was het maar zo simpel. U en ik kunnen onze computers inderdaad makkelijk updaten, maar in complexe omgevingen is dat een helse klus.

Neem de Britse ziekenhuizen die al vroeg door WannaCry werden getroffen. Veel apparaten die scans maken – van echo’s tot CT of MRI – draaien onder Windows XP. Dat valt die ziekenhuizen niet kwalijk te nemen, wél de fabrikanten ervan; maar die denken amper aan bescherming tegen virussen of hackers. Wanneer je zulke oude computers in je ziekenhuisnetwerk hebt, kun je de updates van andere computers niet klakkeloos installeren: voor je het weet kan je imaging software niet meer met de rest van de ziekenhuissystemen praten. Elke update of patch vergt derhalve een plan, uitgebreid vooronderzoek, en gedegen testen.

Bovendien heb je daarvoor budget nodig: tijd is geld, ook in de gezondheidszorg. En net als in Nederland zit de gezondheidszorg in Engeland buitengewoon krap in beide. Het geld dat hen voor ICT is toebedeeld, wordt bovendien verslonden door het vermaledijde elektronisch patiëntendossier. Dus verwijt die ziekenhuizen die ineens al hun patiëntgegevens gegijzeld zagen alsjeblieft niets: heus, dat komt neer op blaming the victims.

Wie wel schuld draagt? Allereerst natuurlijk de bende die deze worm op internet heeft losgelaten. Hoe haal je het in je hoofd om massaal een virus te verspreiden dat ziekenhuizen, energiebedrijven en nucleaire onderzeeërs treft (ja, ook die draaien vaak nog op Windows XP)?

Maar de meeste blaam treft de NSA, de Amerikaanse veiligheidsdienst. De WannaCry worm maakt vrijwel zeker gebruik van een uitgelekt beveiligingsgat dat eigenhandig door de NSA is ontwikkeld. Recent dumpten de Shadow Brokers een grote hoeveelheid zogeheten zero day exploits, oftewel gaten in software die nog niet bij de fabrikant bekend waren. De NSA benut zulke lekken en denkt dat ze, door die voor zich te houden, het alleengebruik erover heeft. Na de datadump hebben tal van softwarehuizen, waaronder MicroSoft, allerijl patches uitgebracht.

Maar dat mocht in dit geval niet baten: onder meer omdat Windows XP al een paar jaar geleden ‘obsolete’ is verklaard en dus niet meer wordt onderhouden. (Het siert MicroSoft zeer dat ze afgelopen weekend subiet een patch voor XP, Windows 8 en Windows Server 2003 uitbrachten waarmee je het NSA-lek alsnog kunt dichten.)

Wat de WannaCry-uitbraak vooral duidelijk maakt: veiligheid is geen veiligheid wanneer risico’s geheim worden gehouden, noch wanneer de bescherming ertegen alleen in handen is van overheidsorganisaties die menen diezelfde lekken te eigen bate te mogen aanwenden, en ze om die reden niet openbaar maken – of zelfs, zoals nu het geval was, verder uit wil ontwikkelen.

Het echte nieuws over WannaCry is dat MicroSoft een zeer strenge waarschuwing uitdeelde aan overheidsdiensten die denken dat ze lekken voor zichzelf kunnen houden. ‘Overheden overal ter wereld moeten dergelijke kwetsbaarheden niet langer verzamelen, maar ze delen met fabrikanten en gebruikers. Doen ze dat niet, dan worden burgers daar het slachtoffer van.’

Overigens: ook de Nederlandse veiligheidsdiensten verzamelen graag zulke gaten, en houden die voor ons geheim. Ons parlement vond dat een goed idee. Nu weten we exact waarom dat ronduit stupide is.

Deze column van Karin Spaink verscheen eerder in Het Parool.

  1. 1

    Maar gaan ze luisteren? Welnee joh. Terroristen weet je wel. En anders kinderporno. Wie wil dat nu niet bestrijden ;-)

  2. 2

    “Dus verwijt die ziekenhuizen die ineens al hun patiëntgegevens gegijzeld zagen alsjeblieft niets: heus, dat komt neer op blaming the victims.”
    Je kan natuurlijk ook dat soort systemen niet op Internet aansluiten.

  3. 3

    Karin:

    (Het siert MicroSoft zeer dat ze afgelopen weekend subiet een patch voor XP, Windows 8 en Windows Server 2003 uitbrachten waarmee je het NSA-lek alsnog kunt dichten.)

    ‘Microsoft’ is met een kleine s. Het siert ze bovendien helemaal niet.

    Dat ze die patch aanbieden lijkt me gewoon hun verantwoordelijkheid te zijn. Ook in Redmond weten ze natuurlijk heel goed dat een aantal klanten helemaal niet zomaar afstand kan doen van XP. “Eigen schuld, had je maar steeds de nieuwste versie moeten kopen” is dus geen valide argument en blijkbaar hebben ze dat ook ingezien.

    Dat zo’n patch überhaupt nodig is kunnen we ze wel degelijk kwalijk nemen. Dat zit gewoon ingebouwd in het ontwerp van hun producten.

    Ik hoop dat dit (zoveelste) debacle er wel eindelijk voor gaat zorgen dat overheden en organisaties in de publieke sector gaan kijken naar en overstappen op open source / free software. Daarover is tenminste nog enige democratische controle mogelijk.

    Nog los van de vele miljoenen / miljarden die we als gehele EU jaarlijks aan Bill Gates c.s. moeten overmaken voor het voorrecht om van hun spullen gebruik te mogen maken. Dat geld zouden we makkelijk ook dichter bij huis kunnen uitgeven.

  4. 4

    @2:

    Je kan natuurlijk ook dat soort systemen niet op Internet aansluiten.

    Zeker, er ligt óók schuld bij de gebruikers c.q. opdrachtgevers. Bij overheden en bedrijven ontbreekt vaak het inzicht om géén spullen en diensten af te nemen bij IT-bedrijven voor wie hun bottom line belangrijker is dan het belang van de klant. M.a.w. men laat zich maar al te vaak wat voorspiegelen. Of er is sprake van corruptie, zie bijv. de kwestie van de overheidsopdrachten aan bedrijven als Ordina en Capgemini, enkele jaren geleden.

  5. 6

    @3: Dat zo’n patch überhaupt nodig is kunnen we ze wel degelijk kwalijk nemen. Dat zit gewoon ingebouwd in het ontwerp van hun producten.

    Wat je hier zegt is dat problemen in de software vermijdbaar zijn. Of zelfs nog sterker: dat de gaten opzettelijk zijn ingebouwd. Nu heb ik me in mijn professionele leven heel lang met software bezig gehouden (maken, ontwerpen, managen etc…) en ik denk dat dat bijna onmogelijk is. Misschien dat in de loop van de levensduur (bijna)alle gaten kunnen worden gedicht, maar dan vereist de technische evolutie toch weer compleet nieuwe software en begint de hele cyclus weer van voren af aan.

    Dus ook begrepen: het niet meer ondersteunen van XP is een logisch gevolg van de levenscyclus van software. Als je dat niet accepteert, dan moet je je niet met software bezighouden. De aankondiging en transities naar volgende OSen is lang en ruim gecommuniceerd. Ik geloof best dat ziekenhuizen, artsen en laboratia arm en zielig zijn, zoals iedereen die iets overkomt, maar ik denk ook dat ze hun verantwoordelijkheid hebben laten liggen. bv ten gunste van uitkeringen voor de RvB en dergelijke.

    Opzettelijke inbouw van gaten bestaat zonder twijfel maar als ze bekend worden, worden ze toch echt wel verwijderd. En zeker niet door instituten op straat gegooid.

    Exploits zullen er altijd zijn, het is inherent aan complexe software.
    En als exploits bestaan zijn, zijn patches noodzakelijk. Dat is niet intrinsiek kwalijk te nemen. Sommige bedrijven kunnen wel wellicht beter (sneller) om gaan met updates.

    Wat wel kwalijk te nemen is, is het opzettelijk laten bestaan, negeren van enz…. van bekende problemen. Maar is toch wat stappen verwijderd van jouw opmerking en ik denk eigenlijk marginaal al is de meest recente wannacry-problematiek een argument tegen wat ik hier nu zeg.

    Maar in samenvatting: jouw opmerking erkent niet een reëel bestaande eigenschap van software: er zitten fouten in.

    NB: herinnert u zich die exploderende Europese raket Arian V nog? Ik citeer uit de link:

    “There is no life today without software,” says Frank Lanza, an executive vice president of the American rocket maker Lockheed Martin. “The world would probably just collapse.” Fortunately, he points out, really important software has a reliability of 99.9999999 percent. At least, until it doesn’t.

    (zonder te beweren dat die raket door een exploit explodeerde:))

  6. 7

    @6: En om nog even door te gaan op die opmerking van Frank Lanza op het einde: The world would probably just collapse.

    Is dat niet wat tegenwoordig vele conservatief rechtse organisaties willen? Ik hoef alleen maar te wijzen naar bv Bannon met zijn apocalyptische chaos inducerende wereldbeeld. Maar goed, de socialistische revolutie leeft misschien ook nog ergens en die wilden precies hetzelfde.

    Ik ben de lulligste niet, misschien moet je opzettelijkheid in die hoek zoeken. Een goede samenzwering is nooit weg zeg ik altijd maar.

  7. 8

    @6:

    Wat je hier zegt is dat problemen in de software vermijdbaar zijn. Of zelfs nog sterker: dat de gaten opzettelijk zijn ingebouwd. Nu heb ik me in mijn professionele leven heel lang met software bezig gehouden (maken, ontwerpen, managen etc…) en ik denk dat dat bijna onmogelijk is.

    Me too, maar daar zal ik me niet op beroepen – ik ben al een aantal jaren geleden uitgevallen en ben wat anders gaan doen.

    Jouw weergave van mijn standpunt klopt in elk geval niet. Natúúrlijk is het voorkomen van fouten in software (zoals in elk métier) onvermijdelijk. Daarover verschillen we heus niet van mening. Maar het is naar mijn onbescheiden mening wel degelijk mogelijk om een systeem zodanig te ontwerpen dat een fout in module X niet meteen hoeft te betekenen dat module Y ook op z’n gat ligt. Om gelaagde beveiliging toe te passen, en geen concessies te doen op beveiliging ten gunste van gebruiksgemak. Wat misschien nog wel te verdedigen is voor een consumentenlaptopje, want als dat fout gaat Who cares?, maar niet voor kritische systemen in ziekenhuizen e.d.

    Windows XP heeft inderdaad zijn cyclus gehad, bedrijven en instellingen hadden er allang afscheid van moeten nemen. Dat is correct. Maar ik beweer nog iets anders, nl. ze hadden er destijds zelfs nooit aan moeten beginnen. Het is bepaald niet zo dat XP pas voor beveiligingsproblemen begon te zorgen toen de ‘support’ en de updates door Microsoft werden beëindigd. Sterker nog, dat was vanaf de eerste release al zo. En er waren ook destijds al alternatieven maar de markt wilde er gewoon niet aan. Microsoft werd nu eenmaal gezien als de ‘veilige’ keuze, alleen dus niet omdat het zo veilig was maar omdat iedereen ermee in zee ging. M.a.w. managers hoefden zich er niet voor te verantwoorden, zoals ze zouden moeten doen als ze iets anders kozen.

    En verder: koop je een machine voor je ziekenhuis of fabriek dan zit er in de meeste gevallen een computer met Windows bij voor de besturing, of een softwarepakket dat met een beetje pech ook alleen onder (een specifieke versie van) Windows gebruikt kan worden. Op die manier wordt de keuze voor een platform dus gedicteerd door je leverancier. Never mind wat dat zou betekenen voor de toekomst. Als een beetje knappe MRI-scanner 25 jaar mee gaat (ik noem maar wat), dan zit je dus met wat pech 25 jaar aan het fundamenteel defecte Windows XP vast.

    Veilige Free Software / Open Source Software is een belangrijk deel van de oplossing. Een heel debat dat ik nu niet (opnieuw) ga voeren. Maar één ding wil ik er wel over zeggen. Namelijk dat grote opdrachtgevers zoals overheden dit dus ook moeten gaan eisen van hun leveranciers. Nogmaals: hopelijk heeft WannaCry ze weer eens een duwtje in de goede richting gegeven.

    Dit nog los van de kwestie die Karin aankaart, dat inlichtingendiensten e.d. niet op hun kennis over kwetsbaarheden en exploits moeten blijven zitten. Of erger, daar zelf misbruik van maken.

  8. 9

    Volgens mij is het wijzen naar de overheid een beetje laf in deze. Iedereen is een totale amateur in software engineering, tenminste voor de schaal waarop we het nu toepassen. Als je echte software engineering gaat doen, realiseer je je pas hoe kostbaar dat eigenlijk is. Daar krijg je geen tweejaarlijkse upgrade cycles van je mobile OS van. Ofzoiets.

  9. 10

    Microsoft is een veroordeelde monopolist. Ook de EU heeft verzuimd dit effectief aan te pakken.

    Software bevat fouten, ook Linux, maar Windows is ontworpen om de winst van Microsoft te maximaliseren, niet om de gebruikers te dienen. Linux is gebouwd door gebruikers en bedrijven die Linux in hun eigen tent gebruiken.

    Hun licentiestructuur, het gebrek aan backwards-compatibility, de moeilijkheid om bijvoorbeeld een download te vinden van Windows zorgt ervoor dat oude besturingssystemen zoals WIndows XP blijven voortbestaan.

  10. 11

    Ook in Redmond weten ze natuurlijk heel goed dat een aantal klanten helemaal niet zomaar afstand kan doen van XP.

    het is vooral de overheid die het niet lijkt te lukken… geen bedrijf dat nog op XP draait. beetje simpel dus

  11. 12

    Bovendien heb je daarvoor budget nodig: tijd is geld, ook in de gezondheidszorg. En net als in Nederland zit de gezondheidszorg in Engeland buitengewoon krap in beide.

    really? al jaren de grootste kostenpost van de publieke sector (a 70 miljard per jaar), tot voor kort ook nog eens de snelst groeiende. lonen zijn fors, zeker voor medisch specialisten oid. maar geen geld voor IT? jaja, geloof je het zelf Karin

  12. 13

    @9:

    Volgens mij is het wijzen naar de overheid een beetje laf in deze.

    We hebben het hier over de overheid in twee hoedanigheden. Ten eerste als gebruiker van kwetsbare software en slachtoffer van de aanval. En ten tweede als veroorzaker van het probleem door stiekeme praktijken. Het is niet laf, maar juist realistisch om daar op te wijzen.

    In het Verenigd Koninkrijk zijn de ziekenhuizen die zo spraakmakend werden getroffen door WannaCry onderdeel van een overheidsdienst, de NHS. Het is dus ook de overheid die heeft verzuimd om de ziekenhuizen uit te rusten met voldoende veilige software, ondanks waarschuwingen die er wel degelijk zijn geweest. Dit vooral uit bezuinigingsoverwegingen, met ook een ideologische achtergrond: de Conservatieve partij haat de NHS en zou de boel het liefst privatiseren, en wil dus ook geen budget geven om de IT te onderhouden of te vernieuwen.

    Verder is WannaCry een product van een andere overheidinstelling, nl. de Amerikaanse inlichtingendienst NSA. Die hebben de malware ontwikkeld, en zijn er vervolgens op klunzige wijze de controle over verloren. Het spul is namelijk gelekt en is vervolgens een eigen leven gaan leiden. Ik las ergens: het is alsof het leger een stel kruisraketten heeft verloren omdat ze beveiliging niet in orde hadden. Ernstig verwijtbaar verzuim dus.

    De NSA, en naar we kunnen aannemen ook vergelijkbare diensten in andere landen, leggen trouwens stiekeme verzamelingen aan van kwetsbaarheden in veelgebruikte software om dit soort zaken te kunnen ontwikkelen. Want ze zijn van mening dat ze de mogelijkheid moeten hebben om overal in te breken, legaal of illegaal. Dit weten we in elk geval zeker sinds Snowden, en ook daarvoor al.

    Als dat soort diensten de nationale en internationale computerveiligheid serieus zouden nemen dan zouden ze dit soort kwetsbaarheden tijdig delen met in elk geval de producenten van de software waar het om gaat. Zodat die er wat aan kunnen doen vóórdat er dingen scheef lopen. Dat is dus ook de reden dat Microsoft op dit moment nogal pissig is op de Amerikaanse overheid. MS had eerder gewaarschuwd willen worden.

    Het probleem had dan weer helemaal niet bestaan als de broncode van Windows openbaar was geweest. Dan was de softwarefout waar WannaCry nu misbruik van maakt waarschijnlijk al 15 jaar geleden opgemerkt en verholpen. Als je ziet hoeveel cruciale diensten in de hele wereld afhankelijk zijn van Windows dan is het eigenlijk bizar dat maar één bedrijf ter wereld mag weten hoe het precies in elkaar zit.

    Hoe de Britten dat post-Brexit gaan doen moeten ze zelf maar uitzoeken. Maar de landen van de EU zouden naar mijn mening haast moeten gaan maken met het volledig verbieden van closed source voor essentiële software in de publieke sector.

    Ik maak me uiteraard geen illusies daarover.

    Als je echte software engineering gaat doen, realiseer je je pas hoe kostbaar dat eigenlijk is. Daar krijg je geen tweejaarlijkse upgrade cycles van je mobile OS van. Ofzoiets.

    Serieuze gebruikers zoals ziekenhuizen, overheden, grote bedrijven hoeven helemaal niet elke twee jaar sexy nieuwe systemen te krijgen. Liever niet zelfs.

  13. 14

    @11:

    het is vooral de overheid die het niet lijkt te lukken… geen bedrijf dat nog op XP draait. beetje simpel dus

    In de kantoren zal inderdaad niemand het meer gebruiken. Daarbuiten, waar het echte werk gedaan wordt zeg maar, kan je het nog op heel veel plekken tegenkomen. Ook in het bedrijfsleven.

  14. 15

    @14: Ik verbaas me wel over al die apparaten (schijnbaar alles met een scherm) dat op windows draait. Maar dat eenmaal vastgesteld, weet je hoe laat het is. Veel apparaten worden pas weggegooid als ze niet meer werken, niet als de software verouderd is. Ze worden gewoon niet als computer meegeteld (waar toch wel een beetje standaard geldt, als de nieuwere versie van windows er niet op draait, moet ie weg).

  15. 18

    @16: wordt vaak beweerd maar zelden goed onderbouwd.
    Punt is een beetje: waarom kan de private sector wel naar een nieuwe versie van Windows (ok Olav, de kantoren waar niet wordt gewerkt) maar bijvoorbeeld de Politie (de meeste computers staan daar ook op kantoor) niet? In de private sector gaat ook (te) veel geld naar het management en andere overhead, dat kan dus niet het verschil verklaren.

    https://tweakers.net/nieuws/102720/nederlandse-overheid-betaalt-nog-1-komma-7-miljoen-euro-voor-windows-xp.html

  16. 19

    Ik vraag me altijd af waarom computers die machines e.d. moeten bedienen of administraties moeten doen, altijd van die dikke alleskunnende besturingssystemen gebruiken. Hoe complexer dergelijke systemen, hoe kwetsbaarder ze worden m.i. Is dit voor de pro-wereld nu zo moeilijk om versimpeling te eisen van softwareontwikkelaars? Waarom een Zwitsers zakmes als je een aardappelschilmesje nodig hebt?

  17. 20

    @18: Sorry, maar de schandalen die de afgelopen jaren aan het licht zijn gekomen onderbouwen dit wel degelijk. Ik was net nog bij een bankautomaat, ouderwets als ik ben. Daar was kennelijk iets mis en was er een Windows XP-scherm te zien met een foutmelding. Wat was dat ook alweer met het bedrijfsleven?