Overheden en bedrijven gaan veel te laks om met hun beveiliging, vindt Microsoft

De wereldwijde cyberaanval die sinds vrijdag al 150 landen heeft getroffen moet een behoorlijke wake-up-call zijn voor overheden, vindt Microsoft.

Het techbedrijf verwijt overheden dat ze hun beveiliging niet op orde hebben, waardoor gevoelige data eenvoudig te onderscheppen is door hackers. Bedrijven en overheden gaan volgens de techgigant veel te laks om met hun beveiliging.

“We zien dat kwetsbaarheden die zijn opgeslagen door de CIA nu verschijnen op Wikileaks. Nu worden klanten over de hele wereld getroffen door deze kwetsbaarheid die is gestolen van de NSA”, aldus Microsoft-topman Brad Smith. Hij vergelijkt de hack met de diefstal van militair wapentuig zoals raketten.

Volgens Microsoft hebben veel organisaties en overheden hun systemen niet up-to-date gehouden, waardoor het virus zich kon verspreiden. Microsoft heeft het veiligheidslek al in een patch in maart gedicht. Veel instanties hebben hun systemen echter nog niet geüpdatet, waardoor hackers kunnen doen wat ze willen.

“Nu cybercriminelen steeds geavanceerder te werk gaan, is er simpelweg geen manier voor klanten om zich te beschermen tegen dit soort dreigingen, tenzij ze hun systemen updaten”, aldus Smith.

Al zeker 200.000 mensen verspreid over 150 landen zijn getroffen door de zogenoemde WannaCry-cyberaanval. Verwacht wordt dat dat aantal vandaag verder zal oplopen, wanneer mensen maandag weer aan het werk gaan. In het buitenland is onder meer autofabrikant Renault en de Duitse spoorvervoerder getroffen door de aanval. Voor zover we weten is in Nederland alleen het parkeerbedrijf Q-Park getroffen door de aanval, waardoor er bij diverse parkeergarages niet betaald kon worden.

Structureel doelwit

Het is al langer bekend dat overheden en organisaties de beveiliging van hun systemen vaak niet op orde hebben.

Uit een onderzoek van het Rathenau Instituut bleek eerder dit jaar dat veel van de huidige maatregelen die nu van kracht zijn, niet meer volstaan. Nederlandse bedrijven en overheidsinstanties zijn daardoor structureel doelwit van hackaanvallen.

De afgelopen jaren blijkt ook in de praktijk dat de beveiliging niet op orde is. Zo waren de gegevens van duizenden patiënten van het Academisch Medisch Centrum in Amsterdam enige tijd toegankelijk voor onbevoegden door een beveiligingslek, lagen de privégegevens van tienduizenden Rotterdammers in 2016 op straat. Sinds 1 januari 2016, toen bedrijven en gemeenten verplicht werden om een datalek te melden, heeft ruim de helft van alle gemeenten een datalek gemeld bij de Autoriteit Persoonsgegevens.