• The Christian Science Monitor
  • Reader
  • Doen techbedrijven genoeg tegen cyberaanvallen?

Doen techbedrijven genoeg tegen cyberaanvallen?

Moeten bedrijven als Microsoft verantwoordelijk worden gesteld voor hun slechte code, die cyberaanvallen mogelijk maakt?

Toen autofabrikanten auto’s met ondeugdelijke remmen afleverden, legde de staat hen boetes op van vele miljoenen dollars. Bedrijven die apparaten maken, hebben forse bedragen moeten betalen voor wettelijk verplichte schikkingen wegens de verkoop van ondeugdelijke koffiepotten. En de overheid heeft een strafrechtelijke vervolging ingesteld tegen leidinggevenden van voedselbedrijven omdat ze besmette pindakaas op de markt brachten.

Maar de Amerikaanse software-industrie, die goed is voor vele miljarden dollars, is tot nog toe nooit civiel dan wel strafrechtelijk aansprakelijk gesteld voor ernstige – en toenemende – problemen die het resultaat zijn van een slechte code. Als het gaat om het beveiligen van computers tegen malware of virussen, het afweren van criminele hackers of simpelweg het updaten van ondeugdelijke programma’s, ligt de verantwoordelijkheid grotendeels bij de consumenten, zelfs als de ondersteunende technologie gebreken vertoont.

Na de recente ‘ransomware’-aanval, die over de hele wereld naar schatting ruim 300.000 computers aantastte en data van slachtoffers versleutelde tot ze losgeld betaalden om de files vrij te geven, vragen cyberveiligheidexperts zich af of het geen tijd wordt om software-ontwikkelaars te verplichten zich aan bepaalde richtlijnen te houden, zoals die in andere industrieën ook bestaan. Op die manier zijn we ervan verzekerd dat hun producten beveiligd zijn tegen ernstige en kostbare computeraanvallen.

‘Wacht maar tot jouw door internet ondersteunde slot je buitengesloten heeft’

‘De oplossing ligt in regelgeving. Die moeten we nu aanpakken,’ zegt Bruce Schneier, een bekende cryptograaf en hoofd technologie bij IBM Resilient. ‘We hebben gekozen voor snel en goedkoop. Wacht maar tot dit met jouw auto gebeurt, of jouw ijskast, of jouw vliegtuigelektronica, of tot jouw door internet ondersteunde slot je buitengesloten heeft.’

Zo is het, want hoewel de ergste veiligheidsproblemen kwaadwillende hackers de gelegenheid hebben gegeven om zakelijke en overheidssystemen lam te leggen of gevoelige persoonlijke gegevens naar buiten te brengen, kunnen cyberaanvallen binnenkort veel duurdere consequenties hebben omdat er hoe langer hoe meer software wordt gebruikt in auto’s, medische apparatuur, consumptieartikelen en andere essentiële systemen. Daarom, zeggen experts, wordt het steeds urgenter om te zorgen dat een gebrekkige code niet zo gemakkelijk uitgebuit of gemanipuleerd kan worden.

Ransomware

Natuurlijk waarschuwen softwarebedrijven hun gebruikers als ze een kwetsbare plek ontdekken in hun producten en sturen ze een software-update rond die het gat in de beveiliging repareert. Dat deed Microsoft toen het hoorde over een ernstige zwakke plek in Windows die criminelen de mogelijkheid bood om een ransomware-aanval uit te voeren.

Maar het is onduidelijk of die boodschap alle slachtoffers van de aanval heeft bereikt. Dit speciale soort ransomware – WannaCry – lijkt zich te hebben verspreid via een kwaadaardige e-mailcampagne die het virus door middel van attachments op de computers van de slachtoffers installeerde.

De zwakke plek in de Windows-software waarvan WannaCry gebruikmaakte, was al eerder ontdekt door de National Security Agency (NSA), en door hen opgeslagen als mogelijk cyberwapen.

Een hackersgroep die zichzelf de Shadow Brokers noemt, dumpte de spyware eerder dit jaar op het web. In een blogpost kapittelde Microsoft-voorzitter Brad Smith de NSA over het feit dat ze de zwakke plek hadden opgeslagen en geheim hadden gehouden. Hij vergeleek hij het probleem met een situatie waarin ‘een paar Tomahawkraketten waren gestolen’ van de Amerikaanse overheid.

Vorige maand werd het WannaCry-ransomware verspreid over honderdduizenden computers in zo’n 150 landen. De slachtoffers moesten 300 dollar betalen om weer toegang te krijgen tot hun bestanden.  – © POLARIS
Vorige maand werd het WannaCry-ransomware verspreid over honderdduizenden computers in zo’n 150 landen. De slachtoffers moesten 300 dollar betalen om weer toegang te krijgen tot hun bestanden. – © POLARIS

Maar sommige experts zijn niet zo voor het straffen van veiligheidsdiensten die profiteren van zwakke plekken in besturingssystemen en mobiele telefoons. ‘Het is oneerlijk om de NSA eruit te pikken,’ zegt Patrick Wardle, een computerexpert die bij de NSA heeft gewerkt en nu beveiligingsonderzoeker is bij de firma Synack. ‘Waarom geven we Microsoft niet de schuld? Ze hebben een gebrekkige code ontwikkeld en toegepast. Ze zouden een deel van de schuld op zich moeten nemen.’

In tegenstelling tot in veel andere industrieën, zoals de gezondsheidszorg en de elektronische sector, worden aan softwareontwikkelaars geen juridische eisen gesteld als het op productveiligheid aankomt. In een serie artikelen uit 2013 in New Republic over het debat wie aansprakelijk is voor software, zegt Jane Chong van het Hoover Institution dat sofwarebedrijven altijd aansprakelijkheidsclaims over ondeugdelijke code hebben ontweken met een beroep op de gebruikersovereenkomst.

‘Softwareproviders schuiven alle risico’s van hun producten af met die licentieovereenkomst, die door rechters meestal als een afdwingbaar contract wordt gezien,’ schreef Ms. Chong, docent rechten en nationale veiligheid aan het instituut.

De keren dat gebruikers hebben geprobeerd om softwarebedrijven gerechtelijk te vervolgen wegens data-lekken, worden de zaken vaak onontvankelijk verklaard, merkte ze op. Een gerechtshof in Californië verwierp een groepsgeding van LinkedIn-gebruikers, die aanvoerden dat het socialemediabedrijf slachtoffer was geworden van een serieuze hack, omdat LinkedIn zelf niet de veiligheidsmaatregelen had getroffen die gangbaar waren in de industrie. Om te zorgen dat gerechtshoven softwarebedrijven verantwoordelijk gaan houden voor nalatigheid op het gebied van cyberveiligheid, moeten er strengere federale regels komen wat betreft de kwaliteit van de code. Het vergt ook rechters die begrip hebben voor de ingewikkelde kwesties rondom de kwetsbaarheid van software en hoe die kan leiden tot cyberaanvallen.

In dit geval waren sommige van de getroffen Microsoft Windows-systemen oude versies die niet waren geupdate of gecorrigeerd, zei Ross Schulman, mededirecteur van het Cybersecurity Initiative en beleidsadviseur aan het New America’s Open Technology Institute. Microsoft heeft die systemen ‘al een heel lange tijd ondersteund; ze hebben iedereen ruim op tijd gewaarschuwd dat ze daarmee zouden ophouden’.

Gewaarschuwd

Volgens vele experts heeft Microsoft in deze zaak verantwoordelijk gehandeld en zijn klanten gewaarschuwd voor de zwakke plekken. In plaats van Microsoft de schuld te geven, zegt Tom Cross, hoofd technologie bij het cyberveiligheidsbedrijf OPAQ, ‘zouden toezichthouders zich moeten afvragen waarom bepaalde organisaties niet waren voorbereid, in het bijzonder als dat organisaties zijn in essentiële sectoren van de infrastructuur’.

Experts en functionarissen trachten te achterhalen wie er achter de aanval zat, maar het zou voor de industrie en de overheid ook een moment kunnen zijn om nogmaals te evalueren of er een manier bestaat om softwarebedrijven aan te moedigen producten uit te rusten met een code die bij dit soort aanvallen betrouwbaarder en veerkrachtiger is, zegt Joshua Corman, directeur van het Cyber Statecraft Initiative van de Atlantic Council, een denktank in Washington.

‘Ik denk beslist dat het een keerpunt is,’ zegt Mr Corman. ‘Het is nu veel gemakkelijker om te pleiten voor een bepaalde vorm van verantwoordelijkheid voor software. Ik zou willen dat hiermee een correctieve actie in gang wordt gezet.’

Auteur: Jack Detsch
Vertaler: Tineke Funhoff

Openingsbeeld: Op station Karlsruhe wordt voor de treintijden naar de luidsprekeraankondigingen verwezen. Als gevolg van een grote cyberaanval faalden afgelopen maand wereldwijd vele computersystemen. – © Uli Deck / dpa Photo via Newscom

The Christian Science Monitor
Verenigde Staten | csmonitor.com

Na meer dan een eeuw is deze krant uit Boston in 2009 gestopt met de printversie en verdergegaan op internet. Heeft nog wel een wekelijkse printeditie. Niet religieus, dankt zijn naam aan de financier: de Christian Science Church.

Dit artikel van Jack Detsch verscheen eerder in The Christian Science Monitor.
Recent verschenen
Een remedie tegen navelstaren?
Schrijf je in voor onze nieuwsbrief.
Onze nieuwsbrief wordt wekelijks verzonden.
inschrijven

Schrijf je in voor onze nieuwsbrief!

En ontvang wekelijks het beste uit de internationale pers in uw mailbox.