Het is schrikbarend dat WannaCrypt gebaseerd is op exploits die eerder dit jaar van de NSA in Amerika zijn gestolen. Daarnaast is het verbijsterend dat de impact zo groot is terwijl Microsoft al op 14 maart security updates heeft uitgebracht om de kwetsbaarheid waar deze exploits misbruik van maken te dichten. Nieuwe Windows-installaties en systemen waarop Windows Update actief is waren dus al maandenlang beschermd tegen dit soort aanvallen, maar blijkbaar worden wereldwijd grote hoeveelheden systemen weinig of nooit bijgewerkt. Welke lessen kunnen we hieruit trekken om een herhaling te voorkomen?

Gezamenlijke verantwoordelijkheid

De WannaCrypt aanval laat duidelijk zien dat beveiliging een gezamenlijke verantwoordelijkheid is van klanten en technologiebedrijven. Het feit dat enorm veel computers twee maanden na het uitbrengen van een beveiligingsupdate nog steeds kwetsbaar zijn, is zeer zorgwekkend. Cybercriminelen gebruiken steeds slimmere methoden en als klant heb je geen enkele mogelijkheid om je hiertegen te beschermen als je de systemen niet regelmatig bijwerkt. De aanval van afgelopen vrijdag toont pijnlijk aan dat een basistaak als het bijgewerkt houden van de systemen een cruciale verantwoordelijkheid is die iedereen serieus moet nemen. Ondanks de complexiteit van de hedendaagse IT-infrastructuren en de uitdagingen die dit met zich meebrengt om updates aan te brengen.

Niet verzamelen maar oplossen

Daarnaast is deze aanval het zoveelste bewijs dat er grote risico's kleven aan het opslaan van kwetsbaarheden door onze overheden. Eerder dit jaar verschenen door de CIA verzamelde kwetsbaarheden plotseling op WikiLeaks en ditmaal werd een wereldwijde aanval uitgevoerd via een kwetsbaarheid en exploits die gestolen zijn bij de NSA. Bij herhaling lekken exploits die een overheid in bezit heeft uit, waarna ze wereldwijd grote schade aanrichten. De recente aanval toont volledig onbedoeld de zeer verontrustende overeenkomsten aan tussen de twee meest gevaarlijke cyberdreigingen. Namelijk die door overheden en die door de georganiseerde misdaad.

Overheden moeten eindelijk inzien dat een andere aanpak nodig is. Ze moeten stilstaan bij de schade die het verzamelen van kwetsbaarheden en het inzetten van exploits veroorzaakt bij onder andere burgers. In februari dit jaar gaf Microsoft nog aan dat er onder andere nieuwe regelgeving nodig is, waaronder de verplichting voor overheden om kwetsbaarheden aan fabrikanten te melden, in plaats van ze te verzamelen, verkopen, of te misbruiken. Overheden, technologiebedrijven en klanten moeten nauw samenwerken in de strijd tegen cyberaanvallen. De WannaCrypt aanval van afgelopen vrijdag heeft bewezen dat het nu de hoogste tijd is om in actie te komen.