Door Tintin and Milou: Door Erik van Straten: Als een kwetsbaarheid in een internet facing systeem bekend wordt, waar (nog) geen patch voor beschikbaar is en er geen workaround bestaat die de risico's aantoonbaar voor 100% mitigeert, hoort zo'n systeem niet meer bereikbaar te zijn vanaf internet.
Is dit niet een eigenschap van alle software? Niemand zal je 100% garantie geven op hun software.
Natuurlijk bestaat 100% veilig niet. Wat ik bedoel is dat je, om te voldoen aan ISO 27001 / NEN 7510, een risicoanalyse moet uitvoeren, bij voorkeur tijdens de fase van systeemontwerp, doch in elk geval voor ingebruikname. Daaruit volgt een zo goed mogelijk ingeschat risico. Als dat risico door
voorziene omstandigheden wordt vergroot, hoor je een procedure op de plank te hebben liggen.
Vermoedelijk is bij de huidige slachtoffers (inclusief zij die nog niet weten dat zij dat wel zijn) sprake van
onvoorziene omstandigheden. Tegen het bestaan daarvan (die "onvoorziene" kwetsbaarheden dus), maak ik bezwaar. Want kwetsbaarheden in software (en ook hardware, maar dat is nog niet zo lang zo) zijn al vele jaren een feit.
Door Tintin and Milou: Maar bepaalde componenten zijn nu eenmaal niet te vervangen, of het maakt juist de oplossing nog complexer, waarmee een outage kan voorkomen.
Dat bepaalde componenten "onvervangbaar" zouden zijn omdat ze niet te koop worden aangeboden, is een kul argument. Als data een bepaald beveiligingsniveau vereist, is het geen excuus om dat niveau maar te verlagen omdat iets niet te koop is. Je hebt dan twee keuzes: niet met zulke gevoelige data werken of iets laten bouwen dat wel voldoet.
En ja, de complexiteit neemt toe. Maar ook dat mag geen argument zijn om beveiliging te verlagen. Bestaat er een goedkope en simpele oplossing? Waarschijnlijk niet, maar uitsluiten doe ik dat ook niet.
Door Tintin and Milou: Als je Oracle database een exploit bevat, heb je hier ook niet zomaar even een alternatief voor. En zo zijn er nog hele mogelijkheden te bedenken.
Opnieuw, doe je risicoanalise. Zo helpt het enorm om jouw database niet direct vanaf internet en zelfs niet vanuit elk LAN toegankelijk te maken. Als uit die risicoanalyse volgt dat je het beste een schaduwsysteem met Postgres kunt draaien, so be it.
Door Tintin and Milou: Ik vindt het een leuke theoretisch oplossing, maar kan alleen maar meer problemen of stabiliteit issues geven. Iets waar je heel goed over na moet denken, voordat je aan dit soort oplossingen begint.
Als CIA-kritische gegevens in het spel zijn, hoor je
sowieso heel goed na te denken voordat je aan welke oplossing dan ook begint. En je hoort je daarbij, onbevooroordeeld, zeer serieus af te vragen of daarvoor voldoende kennis in huis is (als je denkt die kennis zelf te hebben, laat dat dan vastellen door een ander, aantoonbaar deskundige op het betreffende gebied). En laat je ontwerp door minstens één objectieve partij controleren op fouten en vooral over het hoofd geziene aspecten. En laat daarna je systeem, inclusief procedures, regelmatig auditten door specialisten (niet alleen lijstjesafvinkers).
(CIA = Confidentiality, Integrity, Availability)
Door Tintin and Milou: Volgens mij is Citrix geen leverancier van Epic. Tenminste ik kan er niets over vinden.
Los van hoe het precies zit bij specifieke slachtoffers en mogelijke leveranciers: een aspect dat ik nog niet genoemd heb, is het extra risico als ziekenhuizen, gemeentes en andere organisaties (delen van) hun ICT infrastructuur uitbesteden en in SLA's (mogelijk keiharde) afspraken hebben gemaakt over de
beschikbaarheid van systemen, maar niet over de
integriteit van die systemen. De gevolgen liggen dan voor de hand.