Beheer

Security
paniekknop

Zet IT maar uit; de nieuwe noodknop?

In geval van nood glas breken en UIT-knop inschakelen?

© CC0 - pixabay The Digital Artist
27 januari 2020

Wat zijn de overeenkomsten tussen Citrix en Chrome (afgezien van de beginletter dus)? Bij beide is er sprake van een golf aan ongewenste incidenten, en bij beide is er voor de Grote Rode Noodknop (tm) gegaan. Door Citrix-gebruikers in het ene geval, en door Google in het andere geval. Is dit de nieuwe norm?

Citrix-gebruikende organisaties hebben het security-advies gekregen om hun Citrix-systemen maar offline te halen, om niet gehackt te worden. Dat advies kwam niet vanuit de een of andere rabiate securityguru die uit paranoia de ultieme beveiligingsmaatregel aanraadt. De veiligste computer is immers een uitgeschakelde computer, toch? Het uitschakeladvies kwam vanuit het Nationaal Cyber Security Centrum (NCSC), het overheidsbeveiligingsorgaan van het ministerie van Justitie en Veiligheid. Citrix-gebruikers hadden hierbij de keuze om wel of niet voor de uitschakeloptie te gaan.

Aanbieder maakt de keuze

Die keuze is er niet voor eindgebruikers en developers van betaalde extensies voor Google's webbrowser Chrome. De opgelegde maatregel om extensies met een verdienmodel 'offline te halen' is genomen door Google zelf, aanbieder van de Chrome Web Store. Ik schrijf 'offline halen' tussen aanhalingstekens want de extensies waar het om gaat, zijn niet uitgeschakeld, geblokkeerd of gedeïnstalleerd op de computer van eindgebruikers.

Wel is het zo dat de extensies effectief zijn bevroren wat bijwerken betreft. Ook het uitbrengen van nieuwe extensies met betaling, abonnement of in-app aankopen is door Google geblokkeerd. Waarom? Omdat de browsermaker en appstore-uitbater eerder deze maand een grote golf aan frauduleuze transacties heeft gedetecteerd. Fraude die dus werd gepleegd via betaalde extensies.

Paardenmiddel of noodzaak?

Nogal een drastische stap: om dan álle extensies aan banden te leggen. Maar mogelijk is de fraudegolf, en het daaruit voortkomende gevaar, simpelweg te groot om het risico te nemen. Net zoals dus bij Citrix-systemen de risicoafweging is gemaakt, en bij bepaalde organisaties is uitgepakt ten gunste van uitschakeling. In zowel het geval van Citrix-systemen als dat van Chrome-extensies wordt de afhankelijkheid van IT en aanbieders pijnlijk duidelijk gemaakt.

In beide gevallen wordt ook het belang van updaten benadrukt. Bij Citrix het belang van updates maken voor de leverancier, en mitigations doorvoeren voor de gebruikers. Bij Chrome-extensies valt er nu voorlopig niet te updaten. Dus wat als er straks in een bestaande, geïnstalleerde extensie een beveiligingsprobleem wordt ontdekt, en geopenbaard? Misschien moeten extensies dan maar helemaal uit, en wordt er daarvoor weer op de 'Grote Rode Noodkop' (tm) gedrukt? Om IT maar uit te zetten.

Reactie toevoegen