NIST kijkt ook naar browsers als zwakke schakel

In de strijd tegen cybercrime en malware, is NIST bezig met een nieuw onderzoek en de vraag is wat dat voor browsers gaat betekenen. De opdracht luidt namelijk alles in kaart te brengen dat kritische software is en in gebruik bij de overheid. Binnen 60 dagen moet de lijst klaar zijn. Wat Washington daarmee gaat doen en of Europa volgt laat zich raden. De hier al eerder genoemde EO (“Executive Order”) van president Biden over cybersecurity zorgt er voor dat overal in Amerika onderzoek wordt gedaan. Meerdere ingrijpende maatregelen zijn al genomen (zoals verplicht MFA) . Nog meer staan op de rol. Met een veelvoud van operaties moet het land in opdracht van de president binnen korte periode beter in staat zijn ransomware aanvallen te herkennen en af te weren. Dat geldt ook acties die uit zijn op diefstal van data en sabotage.

NIST standaarden

Over de redenen van deze acties is genoeg geschreven. De details van alle lopende acties zijn de omvangrijk om hier beschreven te worden. Maar voor het onderzoek van NIST is het nodig een uitzondering te maken. NIST (“National Institute of Standards and Technology”) is een van de weinige instanties die ook naar internet kijken waarvan de rapporten, onderzoeken en standaarden ergens toe leiden. Bekend voorbeeld is de definitie van cloud en cloudcomputing. Wat het instituut ruim 10 jaar geleden beschreef is nu ingeburgerd taalgebruik.

Kritische software

De huidige opdracht van de EO heeft als doel een overzicht te maken van kritische software en bepaalde producten. Het idee daarachter is met een lijst in de hand eisen te kunnen gaan stellen aan producenten en gebruikers. Iedereen kan zich voorstellen dat software voor het bedienen van een energiecentrale waarschijnlijk wel het label kritisch zal gaan krijgen.

Rol van de browser

Het begint nu echter ook al door te dringen dat heel veel software niet meer rechtstreeks wordt gebruikt. Een goede UI die de bediening vereenvoudigt en voor overzicht zorgt betekent al snel dat een browser nodig is. Dat is binnen de scope van de NIST opdracht geen probleem. Men mag ook naar de rol van andere software, dus de browser kijken, en bepalen of die het label “kritische software” verdient. Voor de meeste kenners is het onvermijdelijk dat browsers zelfs extra aandacht verdienen van NIST om te voorkomen dat ze onbedoeld de zwakke schakel worden als de rest van de IT keten beter wordt dichtgetimmerd. Binnen twee maanden moet NIST klaar zijn met het overzicht. De vraag is dan niet of, maar wanneer Europa, met iets degelijks komt. De reputatie van NIST en de impact van de “adviezen” op de Amerikaanse vendoren is immers te groot om te kunnen negeren.  De resterende (overheids-) gebruikers van IE6.0 gaan het dus binnenkort erg moeilijk krijgen.