Overslaan en naar de inhoud gaan

De businesscase voor WannaCry

Ik kreeg ongeruste telefoontjes van de media over het WannaCry-virus. Men sprak over digital doomsday en computer-apocalypse. Van NSA tot amateurs; alles kwam langs. En CBS News riep dat de schade in de 4 miljard dollar liep.
Locky ransomware
© CC BY 2.0 - Flickr.com
CC BY 2.0 - Flickr.com

Wat was er aan de hand? Als je een oude Windows-versie had (en dus geen security updates), of een nieuwe maar niet de upgrade van 14 maart 2017 geïnstalleerd had, je bovendien een mail had gekregen met het virus erin, de attachments daarvan gesaved op deze computer, en niet de juiste virusscanner (of geen) en geen back-ups had; ja, dan was je het haasje. Maar dat was je voor de aanval ook al natuurlijk.

Patch Tuesday, zoals het officieel heet, is de tweede, soms ook vierde, dinsdag van de maand waarop Microsoft security updates levert. Daarnaast zijn er ook regelmatig security patches voor pakketten van allerlei andere leveranciers. Er valt dus heel wat te patchen en daar kun je zomaar release-indigestie van oplopen. Immers een machine (die daar niet op ontworpen is) zou door een patch enige tijd niet beschikbaar kunnen zijn. Het is dus levendig voorstelbaar dat je niet achter elke patch-update aanrent en elk advies direct opvolgt. Even wachten en updates meenemen in je eigen releasekalender is zo gek nog niet, vooral als beschikbaarheid een grote rol speelt.

Businesscase

Neem nu Q-Park: als je 20 keer per jaar ongepland niet beschikbaar bent omdat Microsoft een security update heeft, heb je om de week een verkeerschaos. Dat kost geld en veel negatieve publiciteit door ontevreden klanten. Maar het kost ook geld als je de slagboom dan maar openzet en klanten gratis laat parkeren, al zullen de klanten nu wel tevreden zijn. Q-Park optimaliseert dus naar open zijn en betalingen innen en niet naar de laatste security upgrades uitvoeren en omzet mislopen. Als de garage toch dicht moet wegens onderhoud en beheer, dan kun je patches meteen meenemen. Uiteraard dit wel opnemen in het onderhouds- en beheerplan.

De door CBS News gemelde schadepost van het WannaCry-virus moet daarom gecorrigeerd worden met de winst van beschikbaar zijn en jarenlang niet (meteen) upgraden, of geen licenties meer betalen op outdated software. Ja, soms levert uitstelgedrag geld op. Als we het vergelijken met parkeergeld: als bekeuringen minder kosten dan parkeergeld betalen, is zwart parkeren economisch voordeliger.

Als 24/7 beschikbaarheid cruciaal is, overweeg dan een platform waar betrouwbaarheid, beschikbaarheid en beveiliging expliciet zijn ontworpen. Waar upgrades de computer niet down brengen, zoals in de telecomsector. Dat kost geld, veel geld. Dus daar moet wel een businesscase voor zijn.

Besparingen

In een ziekenhuis moet patiëntveiligheid geborgd zijn. Als die door het niet beschikbaar zijn van computers in het geding komt, moet je geen outdated software draaien, want die krijgt geen security updates meer. Maar de tekorten in de zorg zijn dusdanig dat dit van de prioriteitenlijst is gevallen. In Engeland waar tientallen ziekenhuizen zijn getroffen, is een tekort van tienduizenden verplegers, de wachttijden bij de eerste hulp waren nog nooit zo hoog en ze komen miljarden ponden tekort. Een paar daagjes WannaCry-oponthoud leveren wrang genoeg waarschijnlijk besparingen op!

Van doomsday is geen sprake, het is puur een afweging van kosten en baten. Dus als er meer van dit soort aanvallen komen gebaseerd op outdated software, worden de kosten hoger dan de baten en zal men vanuit economisch oogpunt maatregelen nemen.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in