"Er is geen bewijs dat overstappen van de nieuwste, volledig gepatchte versies van Internet Explorer naar andere browsers (de pc's van) gebruikers veiliger maakt. Het regelmatig patchen en updaten van software helpt de verdediging tegen de nieuwste dreigingen." Dat is het slot van het officiële antwoord dat de Britse staatssecretaris voor Binnenlandse Zaken geeft op Kamervragen.

Chinese Google-hack

Lord Eric Avebury heeft die vragen vorige week gesteld, over het gebruik van Internet Explorer (IE) door de publieke sector, waaronder overheidsinstanties. Dit naar aanleiding van de Chinese cyberinbraak bij onder meer Google, waarbij een nieuw lek in Microsofts browser IE is gebruikt. Daarvoor was toen nog geen patch beschikbaar. Avebury blogt dat IE in gebruik is door alle departementen en publieke organisaties. Bovendien wordt gebruik van Chrome actief afgeraden, stelt hij.

De Britse overheid lijkt niet genegen van dat beleid af te wijken, meldt Slashdot. "Complexe software zal altijd kwetsbaarheden hebben en gemotiveerde tegenstanders zullen altijd eraan werken om die te ontdekken en te benutten", schrijft under secretary of state Lord West.

Contact met leveranciers en landen

Hij benadrukt: "Wij nemen internetbeveiliging zeer serieus en we werken al jaren samen met Microsoft en andere leveranciers om de security te begrijpen van de producten die worden gebruikt door Her Majesty's Government, waaronder ook Internet Explorer"

Hij stelt in zijn antwoord ook dat zowel Britse overheidsfunctionarissen als security experts regelmatig contact hebben met hun tegenhangers in Frankrijk, Duitsland en andere landen, over onder meer cyber security. Ironisch genoeg hebben de overheden van die twee genoemde EU-lidstaten het gebruik van IE afgeraden naar aanleiding van de Chinese Google-hack, Operation Aurora genaamd. De Britse overheid volgt dat voorbeeld niet, net als de Nederlandse.

Pr-reactie Microsoft

De Britse security-chef Microsoft heeft eerder deze maand ook al betoogd dat IE verlaten geen veiligheid biedt. Sterker nog: andere browsers zouden minder veilig zijn. Security- en privacy-manager Cliff Evans van Microsoft bagatelliseert de cyberinbraak bij Google en 33 andere Amerikaanse bedrijven.

"We hebben het over een enkele kwetsbaarheid. De realiteit van het risico is minimaal, zelfs als je IE6 hebt; je zou dan naar een website moeten gaan waar de exploitcode draait." Dat laatste geldt voor nagenoeg alle browserexploits, die dan ook worden ingebed in veelgebruikte websites en ad-netwerken. Voor dat inbedden van kwaadaardige code worden weer andere aanvalsmethoden gebruikt.