Technical Debt verklaart waarom cyberaanvallen zo succesvol zijn

Tijdens een bijeenkomst voor defensie specialisten heeft een van de NSA directieleden de term “Technical Debt” gehanteerd om cyberaanvallen te verklaren. Bijzonder is niet alleen de term, maar ook de plek waar deze werd gehanteerd. In de Verenigde Staten maken, politici, militairen en spionagediensten zich duidelijk zorgen.

Onderscheid

Het heeft lang geduurd eer militaire diensten zijn gaan praten over de risico’s van cyberaanvallen. Aanvankelijk was cybercrime immers iets dat heel duidelijk ver weg bleef van overheidsdiensten. Dat er ondertussen cyberspionage plaatsvond was een publiek geheim. Net als dat het daar om een kat en muis spel ging waarbij in het digitale domein alles gebeurt om de “vijand” te dwarsbomen. Maar tussen militair en de rest werd consequent een onderscheid gemaakt.

De afgelopen periode van enkele jaren is wel duidelijk geworden dat het weinig zin heeft verkrampt aan dat onderscheid te blijven vasthouden. Cyberaanvallen in de vorm van malware aanvallen op gewone burgers of bedrijven zijn steeds meer een onderdeel geworden aanvallen die uiteindelijk moeten leiden tot het verkrijgen van informatie over politiek, landsbestuur en daarmee ook over het militaire apparaat.

Iedereen een doelwit

Dat besef is daarbij niet alleen in de VS doorgedrongen. Ook in Europa en Nederland erkent men ondertussen dat alles en iedereen een doelwit kan zijn en dat er geen grenzen tussen burger en politiek, bedrijf en defensie meer zijn.

Het gevolg is dan ook dat steeds vaker militairen zich mengen in de discussie over cyberveiligheid. Een doorsnee cyberaanval kan immers slechts een steppingstone zijn om bij een hoger (politiek, militair) doelwit uit te komen.

Technical Debt

In die context is het dus te begrijpen dat ook de Amerikaanse NSA zich mengt in de discussie. Op een recente defensie conferentie sprak NSA Director of Cybersecurity Rob Joyce over de kwetsbaarheden van de private en publieke sector.

Hierbij gebruikte hij de term “technical debt” om het grootste probleem voor de twee te beschrijven. De combinatie van legacy systemen en achterstallig onderhoud maken het “de vijand” extreem makkelijk aan te vallen.

Vervolgens gaf hij aan dat er minimaal twee zaken moeten veranderen om de risico’s van “technical debt” te elimineren. De eerste is meer awareness bij publiek en bedrijfsleven. Dat lijkt de goede kant op te gaan, al is de directe aanleiding daarvoor in de regel een kwaadwillig cyberincident (lees: ransomware aanval).

Wetgeving

Het tweede dat moet veranderen is volgens Joyce de wetgeving. Alleen met regulering kan afgedwongen worden dat software en hardware beter worden en het onderhoud verplicht wordt. De vergelijking die hij maakte is inmiddels wel redelijk bekend. We verkopen geen auto’s meer zonder veiligheidsgordels en airbags en de periodieke APK. Technical Debt kan bestaan omdat iets dergelijks voor IT (nog) niet bestaat. Maar alles wijst erop dat in ieder geval in de Verenigde Staten dat snel gaat veranderen.