Geschreven door: Adri Odding
Security schiet te kort zowel bij bedrijven als particulieren, enerzijds omdat we de gaten in de software op aangeven van de leverancier niet tijdig dichten en anderzijds omdat de huidige software en de beveiliging/procedures eromheen nog steeds “gaten” bevat die nog niet ontdekt zijn.
De volgende zwakke schakels zijn:
- De mens of de mens in het bedrijf die te laat komt met doorvoeren van wijzigingen,
- Slechte procedures
- Slechte verouderde software
- Ontoereikende beveiligingssoftware
Doordat wereldwijd de hoeveelheid software en vooral communicatiesoftware toeneemt neemt ook de kans op securityproblemen toe, want veel van die software is dezelfde die we al een aantal jaren gebruiken. Ook het effect van cybercriminaliteit wordt dan ook steeds groter.
Kunnen we software maken die hackproof is? Foutloos en voorbereid op ongeoorloofd gebruik? Wat is dan ongeoorloofd gebruik, de wolf komt in schaapskleren en biedt een linkje aan, lijkt onschuldig, maar dat linkje laadt ransomsoftware op uw computer en komt vaak via de mail binnen. Ook uw server is een gewone computer vergeet niet dat deze druk is met software voor het opslaan en doorgeven van data, daar gelden dus dezelfde regels voor.
Ook het gebruik van oude IP-adressen (IP4) is niet meer van deze tijd en de adressen raken op. IP6, is de nieuwe versie en kan wereldwijd vele miljarden adressen aan. Ook is IP6 beter inzetbaar bij frauduleuze handelingen op uw computer c.q. netwerk.
Kortom door betere software en betere procedures voor het tijdig update van software kan er al veel worden opgelost. Maar waar was die security officer? Volgens mij hebben er een groot aantal zitten slapen.
Ook merk ik dat veel organisaties zich bemoeien met c.q. opwerpen om de problemen op te lossen en info door te spelen aan alle partijen, die het willen weten. Dus bij wie ben je aangesloten? Het kan via de Betaalvereniging, maar wat is het beste? Er lijkt een wirwar van instanties te ontstaan, dat is niet goed.
Om voorgoed van het hackprobleem af te komen zal er een methode/techniek bedacht moeten worden waarbij bijvoorbeeld alle software die via welke wijze dan ook digitaal wordt aangeboden eerst in een quarantaine omgeving wordt losgelaten en onderzocht op resultaat. Dit betekent dat alle linkjes leiden tot het plaatsen van software in deze beveiligde omgeving. Deze aangeboden software moet daarnaast van een erkende leverancier zijn die een update aanbiedt van zijn bestaande software. Nieuwe functionaliteit van nieuwe software van onbekende herkomst wordt standaard geweigerd. Dit is wellicht gemakkelijk gezegd dan gedaan, dat besef ik, maar op de huidige ingeslagen weg doorgaan levert geen afdoende waterdichte oplossing.
Per saldo betekent dit dat er aanvullend beveiligingssoftware ontwikkeld moet worden, die een soort schild om uw systeem creëert, waarbij waar dan ook in uw systeem het updaten van software, het installeren van software alleen via eigen software mogelijk is en dat dit tevens onmogelijk is via binnenkomende linkjes of attachment. Een nieuwe gedachte is mogelijk dat hiervoor de blockchain technology wordt ingezet. Alleen software die vergezeld gaat van de juiste code, die overeenkomt met een externe code mag software aanpassen. Het op deze wijze versleutelen van de toegang tot software kan een stap in de goede richting zijn.
Nb. Vele hackers verdienen hier een boterham aan en ook de leveranciers van beveiligingspakketten doen hieraan mee, maar deze methode van fouten maken/hacken/oplossen/ beveiligen is een vicieuze cirkel waar we uit moeten zien te doen, door onze software en software beveiliging op een hoger niveau te tillen.
Naar de website Toekomst van het Betalingsverkeer