WannaCrypt verandert helemaal niets

De totale schade van de ransomware-aanval is nog niet helemaal duidelijk, maar het zal sowieso niet genoeg zijn om echte verandering te veroorzaken in security. Meer dan 300.000 computers in 150 landen zouden zijn besmet, maar de reactie erop gaat meestal om patches, updates, antimalware, back-ups en uitwijkplannen.
Alsjeblieft zeg.
Ja, dit soort tactieken kan je risico verlagen en zou je hebben geholpen om deze specifieke aanval tegen te houden. Maar WannaCrypt - blijkbaar gebaseerd op door de NSA ontwikkelde tools die nu zijn gebruikt door hackers uit Noord-Korea(?) - is de recentste in een lange rij aanvallen, kwetsbaarheden en crises.
Dit is een grote die veel aandacht krijgt, maar de onderliggende issues spelen ons ieder dag parten - zelfs als je er niet over leest, omdat mensen het er niet over hebben. Maar zelfs als de kosten hoog liggen - zoals voor Yahoo waar een hack 350 miljoen dollar van de overnamesom afhaalde - verandert er weinig.
De deskundigen komen dan tevoorschijn met dezelfde platitudes en belegen voorspellingen. Dan komt de volgende aanval en begint de cyclus opnieuw. Het échte issue is namelijk dat ondanks de enorme onveiligheid, het systeem een acceptabel risico vormt voor veel belangrijke partijen in het ecosysteem:

• Criminelen hebben een lucratieve bron van inkomsten in een complexe wereld waar het lastig is ze in de kraag te vatten.
• De staten die achter de aanvallen zitten zien grote voordelen in het voeren van asymmetrische digitale strijd tegen grotere, rijkere landen.
• Die grote landen maken hun eigen digitale wapens en riskeren zelfs met plezier dat ze tegen hun eigen land worden gebruikt.
• Securitybedrijven en consultants hebben een oneindige bron voor bedrijfsinkomsten.
• Hardware- en softwareleveranciers verkopen hun producten tegen een lage prijs omdat ze geen moeilijke, dure beslissingen nemen om ze te beveiligen. Die kosten komen uiteindelijk voor rekening op andere plekken in het ecosysteem, waardoor een snel groeiende sector opkomt.
• En belangrijker: bedrijven en mensen denken dat dit ze niet overkomt en proberen het goedkoopste en de minst ontwrichtende ervaring te krijgen, ongeacht het risico.

Het komt er uiteindelijk op neer dat we beveiligingsrampen zien als niets meer dan een onplezierige maar uiteindelijk acceptabele kostprijs. Ik vind het niet leuk om te zeggen, maar er is iets veel ergers nodig dan WannaCrypt om te leiden tot daadwerkelijke actie om iets fundamenteel te veranderen.
Het enge hieraan is dat tenzij we grote veranderingen doorvoeren, we vroeger of later een échte catastrofale aanval tegenkomen - eentje die leidt tot sterfgevallen en overheden ten val brengt. Het enige waar we op kunnen hopen is dat die ramp niet zo erg is als we ons kunnen voorstellen - en eindelijk leidt tot écht verandering zodat het lijden niet tevergeefs is geweest.