NCSC waarschuwt voor houdbaarheidsdatum software
Net zoals veel voedingsmiddelen heeft ook software een houdbaarheidsdatum en het is belangrijk voor zowel consumenten als bedrijven om die in de gaten te houden. Daarvoor waarschuwt het Nationaal Cyber Security Center (NCSC) van de overheid. Veel leveranciers stoppen na een bepaalde tijd met het ondersteunen van programma's of een pakket. De software is dan "End-of-Life".
"Software is na End-of-Life niet meer houdbaar en kan dan niet langer als veilig beschouwd worden. Het NCSC adviseert om systemen na die aankondiging zo snel mogelijk bij te werken en uitgefaseerde software te vervangen", zo laat de overheidsorganisatie in een nieuwe factsheet weten. Beveiligingslekken die in End-of-Life-software worden ontdekt zullen namelijk niet meer worden gepatcht.
Upgradeproces
Om dit soort situaties te voorkomen moet het upgradeproces zo snel als mogelijk worden ingezet als een leverancier heeft aangekondigd dat de ondersteuning van een programma op een bepaalde datum zal eindigen. "Het upgraden kan mogelijk voor problemen zorgen bij de werking van andere programma’s. Begin daarom op tijd met het plannen, testen en uitvoeren van upgrades." Het NCSC stelt dat sommige systemen, zoals medische of industriële apparatuur, niet zijn te upgraden. In dit geval kunnen er alternatieve maatregelen worden genomen, maar die vereisen intensief beheer.
Een bekend voorbeeld van End-of-Life-software is Windows XP en binnenkort Windows Server 2003/R2, dat na 14 juli van dit jaar niet meer zal worden ondersteund. In het geval uitgefaseerde software niet kan worden vervangen adviseert het NCSC om de verbinding met de buitenwereld tot een minimum te beperken. "Idealiter betekent dit dat deze computer geen verbinding heeft met het internet, niet verbonden is met het netwerk en dat er geen externe media zoals USB-sticks in worden geplaatst."
In het geval de computer toch met een kantoornetwerk of internet verbonden moet blijven moet die alleen voor strikt noodzakelijke handelingen worden gebruikt of kan ervoor worden gekozen om het systeem in een gesegmenteerd deel van het netwerk te plaatsen. Verder moeten niet noodzakelijke netwerkservices op de computer worden uitgeschakeld en moeten er alleen lokale accounts worden gebruikt. "Log niet meer in met bedrijfs- en beheerdersaccounts", aldus de factsheet (pdf).
Anders dan houdbare producten kun je software niet even weggooien, en kan deze ook na de houdbaarheidsdatum worden gebruikt. Voedingsproducten worden na die houdbaarheidsdatum ook niet even gratis vervangen voor een betere variant, want dat kost geld. En dat kost ook geld bij software producten die (soms) eenmalig worden betaald.
Dus dan blijven er drie dingen over: licentiemodellen, de producten veel duurder maken of de klant betaalde updates geven. De laatste twee - en eigenlijk ook de eerste - stuiten wellicht op veel verzet, dan wel zijn in de ogen van velen misschien niet interessant genoeg.
Licentie modellen ben ik zelf nooit fan van geweest omdat mijn gebruikerspatroon bij software nooit stabiel is, de ene maand gebruik ik het veel en de andere maanden helemaal niet.
Wat rest anders nog dan alles in een grote pool van software gooien (netflix-, spotify idee)?
niet inzien dat dit voor ALLE apparatuur geldt.
Een dure MRI scanner in een ziekenhuis die moet worden afgeschreven omdat de besturing onder Windows XP draait dat
is dan "een niet te upgraden apparaat wat intensief beheerd moet worden", terwijl de PC van ome Jan dan maar vervangen
moet worden want anders is er geen ondersteuning.
En dat terwijl de investering relatief ten opzichte van het budget in beide gevallen wellicht ongeveer gelijk is.
Het is makkelijk praten als NCSC dat consumenten en bedrijven hun spullen moeten vervangen, maar het geld groeit de
meesten nou eenmaal niet op de rug en de nieuwe vervangende producten zijn meestal nog vlugger end-of-life dan de
voorgangers. Dat is een draaimolen waar veel mensen helemaal niet in willen meedraaien, al is het nog zo goed voor
de veiligheid en/of de economie.
Jarenlang heeft Microsoft Linux buiten de deur van bedrijven weten te houden met FUD over 'wie levert support' en 'software zonder support is onveilig en mag niet gebruikt worden bij banken en creditcard toko's..
Nu is het onredndabel om XP te ondersteunen omdat ze anders vista, 7, 8 8.1 en 10 kanibaliseren en is het ineens geen probleem om zonder support te zitten. Sterker nog, ze leveren nu extra support voor unsupporte software?
Helemaal maf...
Ware de wereld niet veel eenvoudiger als we massaal overstappen op open source? Wellicht dat arrogante leveranciers als Microsoft dan eens begrijpen dat aan hun bestaan ook een EOL zit.
En zolang ambtenaren niet op staande voet worden ontslagen en persoonlijk aansprakelijk worden gesteld voor deze wanprestaties, zullen ze doorgaan met het verbranden van belastinggelden. Ik vraag me ook af waarom ambtenaren worden behandeld als een beschermde diersoort, een belangrijk deel van hen gedraagt zich als ongedierte.
meesten nou eenmaal niet op de rug en de nieuwe vervangende producten zijn meestal nog vlugger end-of-life dan de
voorgangers.
Je kan ieder waarschuwende partij wel gaan beschuldigen van makkelijk praten, maar uiteindelijk gaat het om verantwoordelijkheid. De verantwoordelijkheid ligt bij de eigenaren van producten om met gezond verstand na te denken hoe ze met hun eigendommen omgaan en wat voor gevolgen dat heeft voor zichzelf en anderen. Het is nog makkelijker om verantwoordelijkheid af te schuiven onder het mom van 'ja maar ik ging liever op vakantie dan een nieuwe virusscanner kopen' of "ik heb er voor gekozen om mijn website niet te onderhouden want dat snap ik niet".
In veel gevallen staan mensen wel stil bij situaties die hun leven bedreigen (roekeloze verkeersdeelnemers of keukenprinsessen etc daargelaten) maar hebben mensen een zetje nodig om te beseffen dat er constant risico's voor zichzelf en anderen zijn. Want achteraf klagen dan is lekker makkelijk als je toch geen boete krijgt voor het lekken van persoonsgegevens via je brakke website of het meehelpen in een dDoS op een overheidsinstelling met de bot die op je mobiel of laptop zit.
Linux Ubuntu en ook Adobe worden specifiek genoemd. Aangezien niets is uitgesloten moet je dat ook doortrekken naar Tibco Oracle VM/ware SAP IBM (z/OS en de vele tools). Kijk eens rond op de CVE lijst van alle bekende producten. Dan hebben we het nog niet eens over de minder bekende leveranciers en minder bekende producten.
De lijfsrpeuk zou moeten zijn: Vertrouw nooit de leverancier op zijn blauwe ogen dat het allemaal wel goed zit.
Prima dat de NCSC zo'n vergelijking maakt met bedorven voedsel/houdbaarheidsdatum. Niets nieuws de DNB doet de zelfde uitspraak al jaren. http://www.toezicht.dnb.nl/binaries/50-230767.pdf Alleen doen ze er niet zo veel mee.
Ooit gezien dat het echt gecontroleerd werd? nee... dan eens naar de dagelijkse praktijk kijken en zie wat er echt gebeurd.
Probleem zit vaak niet op de vloer. Het is het gedachtengoed van het gangbaar managen en de korte termijn successjes.
Release management (de lichten aan houden) is duur, dan bezuinig je toch door niet het verplichte onderhoud te doen.
Nieuwe ideeën uitrollen is duur, dan plan je dat toch met een budget zonder rekening te houden voor herstel en de operatie. De basis is daarmee gelegd voor verwachtingen die niet uit kunnen komen.
Niemand vind het raar dat een apparaat dat buiten de garantie komt en buiten de normale levensduur nauwlettender in de gaten gehouden moet worden dan wel vervangen als dat economisch/fucntioneel beter is.
Niemand vind het raar dat je bedorven voedsel niet meer moet consumeren. De houdbaarheidsdatum mag wel ter discussie staan. (bron)Water en een hamburger zijn nu eenmaal verschillend.
Niemand vind het raar dat een vervoermiddel op tijd brandstof nodig heeft (tanken), dan wel de onderhoudsbeurten (Olie en versleten / kapotte delen vervangen).
Wat raar is dat het raar gevonden wordt dat software onderhoud nodig heeft en op tijd vervangen moet worden afhankelijk van de sitauties. Kom maar op met het releasemanagement (versie management alleen voor bouwers) als verplichting/keuring. OS Linux routers network tools dbms-systemen programmertalen BI de hele mikmak.
Wat ook raar is het terugkerende strijd der kampen (eg Windows bashing hierboven)
Niemand vind het raar dat je bedorven voedsel niet meer moet consumeren. De houdbaarheidsdatum mag wel ter discussie staan. (bron)Water en een hamburger zijn nu eenmaal verschillend.
Niemand vind het raar dat een vervoermiddel op tijd brandstof nodig heeft (tanken), dan wel de onderhoudsbeurten (Olie en versleten / kapotte delen vervangen).
Maar iedereen zou het WEL raar vinden als allerlei technische apparatuur de hele tijd vervangen moet worden hoewel het
nog niet stuk is, alleen maar omdat de fabrikant zegt dat het vervangen moet worden.
Dat is misschien hier en daar in het bedrijfsleven normaal (waarschijnlijk op minder plekken dan aangenomen wordt), maar
voor consumenten is het zeker niet normaal. Men vervangt iets als het stuk gaat of als men behoefte heeft aan andere
functies of kwaliteiten, niet omdat Microsoft of een deskundige zegt dat het moet.
En dat blijkt ook wel uit die statistiekjes over XP die je hier zo nu en dan ziet.
XP komt uit 2001 http://nl.wikipedia.org/wiki/Windows_XP is pas na 6 jaar opgevolgd en na 13! jaar EOL gegaan.
Dat is een ongeloofelijk lange periode. Je mag zo'n periode zien asl iconisch asl de eend of Volkswagen.
Bedenk, ooit was de hardware voor desktops na 30 maanden 2 1/ 2 jaar) hopeloos verouderd. Moore gold ook nog voor de snelheid, sinds 2003 niet meer.
Een koelkast TV of wat dan ook is volstrekt acceptabel om in de helft van die tijd te vervangen (ca 6 jaar). Als het het nog doet en prima vind dan laat je dat zo. Geen enkele verplichting, je hoeft het ook niet te gebruiken. Kijken we naar andere OS-systemen dan komt er gaan enkele in de buurt hiervan. Meestal is het nog steeds 2 maximaal 3 jaar voor EOL van software.
Als je echter professioneel in je bedrijfsvoering er van ICT afhankelijk bent, dan is het wat anders. Dan kun je spreken van nalatigheid waar je op aangesproken zou kunnen worden als je de software niet op to date hebt. Ik heb meer problemen met b.v. financiele instellingen de zorg en en overheid die het op dat vlak laten afweten dan een incidentele thuisgebruiker.
Ik heb het ook niet over een thuis-dektop, er is zoveel ongelooflijk meer wat er bestaat.
Wel eens met je: Het is raar dat je verplicht wordt om apparatuur aan te schaffen en voldoende up to date houdt omdat je anders uitgesloten wordt. Dat banken niet iets intrinsiek veiligs willen/kunnen leveren en alles proberen af te schuiven als "gebruikersprobleem, niet onze fout , dok zelf, zoek zelf uit" is niet correct.
Misschien gaat het toch eens tijd worden om personen met bankingtrojans, bots op hun devices of c&c services of spamservices op hun websites verantwoordelijk te houden voor hun laksheid als ze niet kunnen aantonen dat ze de software en apparatuur keurig bij de tijd hebben gehouden.
Het probleem bij grotere organisaties is dat er een flink aantal tools (middleware applicaties) ingezet worden en ook het nodige ingekocht met allerlei extra configuratie settings (elk bedrijf is uniek). Voor je het weet zijn er hele ketens vana afhankelijkheden dat voor werk a die bepaalde versies nodig zijn, voor werk b een ander setting met ander versies en ga maar zo door. Uiteindelijk heb je een situatie waar je bijna niets meer kan aanraken omdat er dan ergens wel iets omvalt.
Dit is de reden dat softgrid/bubble voor packaging en Docker (cgroup / union filessystems) zo'n succes zijn. Het is een poging om de root-cause van alle tegengestelde eisen op te lossen. Dat lukt om wat raakvlakken lost te koppelen.
Een koelkast TV of wat dan ook is volstrekt acceptabel om in de helft van die tijd te vervangen (ca 6 jaar). Als het het nog doet en prima vind dan laat je dat zo. Geen enkele verplichting, je hoeft het ook niet te gebruiken.
Jij bent kennelijk al helemaal gedrilled door de moderne weggooimaatschappij, maar ik heb in huis nog diverse spullen
uit de tijd dat ze nog goed gemaakt werden en die niet na 6 jaar al vervangen hoeven te worden.
Ik weet ook heel goed dat ik ze beter niet kan vervangen omdat ik dan in diezelfde cyclus terecht kom waarbij het nu
door mij aangeschafte nieuwe apparaat waarschijnlijk nog eerder kapot is dan hetgene wat ik nu heb als ik het blijf
gebruiken.
Je ziet een parallel in de software industrie. Juist nu hardware veel langer mee zou kunnen gaan op performance gebied,
zorgt de software wereld voor de planned obsolesence. Je kunt daar in gaan meedraaien, maar je kunt ook denken
"ze bekijken het maar".
.. Jij bent kennelijk al helemaal gedrilled door de moderne weggooimaatschappij, maar ik heb in huis nog diverse spullen
"ze bekijken het maar".
Laat Ik nu juist niet gedrilled zijn zoals jij ten onrechte denkt. Stofzuiger +20jr TV ca +9 Auto +10 koelkast (2-e reserve) +15. Ik maak zelf de berekening en overweging of ik gebruikstechnisch en economisch verantwoord vind afhankeljik doel en gebruik. Dekstop juist onevenredig technisch zwaar neergezet (enige jaren terug) omdat er wat langer mee gedaan kan wel worden wel uiitgebreid met SSD en ander scherm. Keuzes en overwegingen. Voor een koelkast en gloeilampen bijvoorbeeld kan het handig zijn (energieverbruik en meten=weten) te vervangen. Dat geld ook voor andere hardware juist met computers. Ook daar gaat het energieverbruik nog steeds naar beneden met het aantal componenten (moore).
Nu waren de eerste cassettedecks vrijwel onverwoestbaar. Je wilt toch niet zeggen dat je nog steeds cassettedecks gebruikt omdat jouw apparaat het nog steeds doet en nooit stuk gegaan is.
Het is een bekend valkuil bij DR BCM. Niet meer de apparatuur geleverd kunnen krijgen in geval van .... . Dan heb je prachtige backups maar geen mogelijkheid om de informatie er af te krijgen. Was nu het doel het maken van een backup of was het doel de boel herstellen in geval van ... Op tijd vernieuwen voorkomt dat, ook al werkt alles nog goed.
Niet dat dat gelijk een oplossing biedt. Maar het stemt wel tot nadenken.
Te vaak worden dergelijke kritische succesfactoren inzake de continuïteit in de gehele life cycle van een bepaald bedrijfsproces (bewust) genegeerd, en later betaal je daar de hoofdprijs voor. Of anders iemand anders wel.
Vaak iemand anders. Of anderen.
Wellicht een van de redenen waarom "hit and run concultancy" zo'n succes is.
Niemand kijkt verder dan zijn/haar neus lang is en na mij de zonde.
Het geeft kennelijk niet dat onze erfgenamen moeten gaan bloeden voor de kortzichtigheid en gemakzucht van de huidige beleidsmakers.
|Hoe vaak nog dient er op gewezen te worden dat je beslissers moet afrekenen op de korte en lange termijn gevolgen van hun beleid?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.