Denne klumme er et debatindlæg og er alene udtryk for skribenternes synspunkter.
Så skete det, som jeg forudså for snart tre år siden: Ransomware har nu kostet menneskeliv.
10. september i Düsseldorf døde en kvinde som følge af, at universitetshospitalet i Düsseldorf blev offer for et ransomware angreb, der låste hospitalets it-systemer og betød, at operationer og behandlinger ikke kunne finde sted.
Her døde en kvinde, der blev omdirigeret til et andet hospital, angiveligt fordi hun ikke modtog behandling i tide.
Det er dybt tragisk, og endnu mere tragisk bliver det, at universitetshospitalet slet ikke var de cyberkriminelles tiltænkte mål. De ville have ramt et universitet, men på grund af navnesammenfald ramte de i stedet universitetshospitalet.
Tragedien fuldendes, når vi ser på, hvad der gjorde det muligt for de cyberkriminelle at låse systemerne: Der blev udnyttet en sårbarhed i Citrix-miljøet, som vi har kendt siden januar, og som der længe har eksisteret en patch til.
Allerede glemt
På trods af de alvorlige konsekvenser er sagen allerede glemt – druknet i daglige nyheder om nye ransomware angreb og ofre.
Men ud over at vise hvor lidt der skal til for at blive offer for ransomware, så demonstrerer dette angreb, at ingen kan vide sig sikker.
Det kan godt være, at din virksomhed ikke har patenter, der er millioner værd, omsætter for milliarder eller har følsomme data liggende, du kan stadig blive offer for ramsomware.
I dette tilfælde var hospitalet slet ikke det oprindelige mål, og det angreb, der for et par år siden lagde danske Mærsk ned, var heller ikke rettet mod dem.
Du kan lige så godt blive offer for en kampagne, der er rettet mod et helt andet firma, men hvor du så tilfældigvis står i skudlinjen, rent teknisk. For dig er konsekvensen den samme – og her havde den så fatale følger.
Opdatering er ikke valgfri
Det er frustrerende og trist, at der stadig er så mange, der betragter opdateringer til deres it-systemer som valgfri eller som fravælger dem, fordi de ikke har den fornødne viden om it-sikkerhed til at opdatere deres systemer selv.
Vi har i branchen sagt det utallige gange, operativsystemer og primære applikationer skal opdateres.
Desværre viser virkeligheden, at vi stadig ikke er gode nok til det, og selvom ransomware nu har kostet et menneskeliv, så er vi stadig ikke gode nok til at holde vores systemer opdaterede.
Derfor kan det bare ikke siges tydeligt nok: Opdateringer er ikke valgfri.
Naturligvis er der visse opdateringer, der skal tages aktiv stilling til og testes, men det betyder ikke, at de opdateringer ikke skal installeres, det skal bare gøres med omtanke.
Det er ikke de andres fejl
Derfor kan du heller ikke frasige dig dit ansvar for at få opdateret dine egne systemer. Hvis dit firma blive ramt af ransomware, så bærer du et stort ansvar selv. For informationen er derude.
Som sikkerhedsfirma gør vi konstant opmærksom på de sårbarheder, der findes, vi forsker i dem, og vi gør vores for at sikre, at vores systemer fanger så meget som muligt. Men hvis du ikke opdaterer dine systemer, så vil du være sårbar, det står ikke til at ændre.
Men jeg kan godt se, hvorfor vi er endt, hvor vi er endt, når det kommer til opdateringer. Før i tiden betød en opdatering som regel, at du fik nye funktioner, måske et nyt spændende udseende i applikationen eller operativsystemet.
Men i dag er det ofte ’kedeligt’, for mange opdateringer giver ikke noget visuelt nyt, og derfor er der nok mange, der ikke fornemmer, at det er vigtigt at opdatere, for ”der kommer jo ikke noget nyt alligevel”.
Ransomware kan ramme alle, og nu har vi så også set, at den kan dræbe…
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.