Het verhaal uit Florida is goed afgelopen voor de bevolking. De hack van het systeem is op tijd ontdekt. De beoogde verandering van de drinkwatersamenstelling is niet doorgevoerd. Een dader is op dit moment nog niet aangehouden. Voor velen zal het daarmee einde verhaal zijn.
Slechte IT security en meer
Voor de lezer die beroepsmatig iets met IT en IT security te maken heeft begint het verhaal pas op dit punt interessant te worden. Lezen dat een oude versie van Teamviewer is gebruikt om remote toezicht te houden op het waterwerk roept al de nodige vragen op. Een computer met een 32 bits Windows 7 versie doet menigeen het hoofd schudden. De melding dat niet kan worden uitgesloten dat het wachtwoord bij een grotere groep bekend was en waarschijnlijk langere tijd ongewijzigd was past bij het beeld dat we hebben van slechte IT security.
In Nederland alles ok?
Het is erg makkelijk het cyberincident en geval van kwaadwillige sabotage af te doen als iets exotisch. Dat is vooral onjuist. Iedereen heeft namelijk meegekregen dat er drie componenten die zoiets mogelijk maken. Iemand met slecht bedoelingen kan daardoor erg makkelijk op slechte ideeën worden gebracht. Gelukkig is die zelfde lijst ook beschikbaar voor iedereen die zijn IT omgeving veilig wil maken en houden.
Een oude versie van Teamviewer in omloop? Dat is makkelijk te fixen. Slecht wachtwoord beleid is al een stap moeilijker. Kan iedere systeembeheerder achterhalen of medewerkers het wachtwoord voor zich houden en iedereen afzonderlijk inlogt? Het antwoord op die vraag is nee. Dat toevallig gisteren de toezichthouder AP het OLVG een flinke boete oplegde geeft aan dat in Nederland fouten worden gemaakt die niet onderdoen voor wat in Florida is gebeurd.
Te veel Windows 7
Een vergelijkbaar cyberincident kan daarom ook heel goed in Nederland gebeuren, zeker zolang er zoveel Windows 7 machines in gebruik zijn.