Als het gaat om cybersecurity zijn er tal van "best practices" te vinden met adviezen die eindgebruikers en organisaties zouden moeten volgen om hun gegevens en systemen te beschermen, maar er zijn ook practices die buitengewoon riskant zijn en de cyberrisico's juist vergroten. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security gaat nu een overzicht van "bad practices" maken.

Deze practices zijn volgens het CISA voor elke organisatie gevaarlijk, maar met name voor de vitale infrastructuur en vitale diensten. "De aanwezigheid van deze bad practices in organisaties die vitale infrastructuur of nationale vitale functies ondersteunen is buitengewoon gevaarlijk en vergroot het risico voor onze vitale infrastructuur, waar we allemaal van afhankelijk zijn voor onze nationale veiligheid, economische stabiliteit, leven, gezondheid en openbare veiligheid", zo stelt de Amerikaanse overheidsdienst.

Op dit moment bevat het overzicht van bad practices twee onderwerpen, namelijk het gebruik van end-of-life software en het gebruik van bekende/hardcoded/standaard wachtwoorden. Het CISA waarschuwt dat het gebruik van end-of-life software en onveilige wachtwoorden gevaarlijk is en het risico voor de nationale veiligheid, economische veiligheid, volksgezondheid en openbare veiligheid aanzienlijk vergroot. Dit is met name bij systemen die via internet toegankelijk zijn zeer riskant.

Het CISA roept alle organisaties op deze bad practices aan te pakken. Volgens Eric Goldstein, adjunct-directeur van het CISA, is er bewust gekozen voor een klein aantal zeer ernstige bad practices, omdat organisaties beperkte middelen hebben om alle risico's te identificeren en verhelpen. Daarnaast is de aanpak van bad practices geen vervanging voor het implementeren van best practices, aldus Goldstein.