Gevaar voor hacking? In verschillende ministeries werken computers nog met het verouderde en kwetsbare Windows 7

De meeste particulieren gebruiken een computer met het nieuwste besturingssysteem, Windows 10. Dat komt vooral omdat de pc’s en laptops die je vandaag in de winkel koopt, voorzien zijn van dat systeem. Bij bedrijven en administraties is dat anders. Daar moeten de computers één voor één een update krijgen. Dat vraagt tijd, en personeel.

Uit cijfers van het Centrum voor Cybersecurity België (CCB) blijkt dat 12 procent van de computers in ons land nog met het oudere systeem, Windows 7, werkt. Maar Microsoft is in januari gestopt met dat systeem te ondersteunen, en daardoor zijn die computers kwetsbaarder voor hacking.

Voor een deskundige is het eenvoudig om een computer die is uitgerust met windows 7 te besmetten met een virus. Het virus kan binnengeraken via een usb-sleutel of via een besmette mail. Hij kan ook de webcam van zijn slachtoffer openen.

In "Het Journaal" geeft een ethisch hacker daarvan een demonstratie, herbekijk hier de beelden: (lees verder onder de video)

Maar ook verschillende federale overheidsdiensten (FOD's) en Vlaamse departementen werken nog met Windows 7, blijkt uit een rondvraag van onze redactie. We hebben verschillende ministeries gebeld met dezelfde vraag: “Hoeveel computers met Windows 7 zijn er nog in gebruik?”

Het valt meteen op hoe uiteenlopend de cijfers zijn. Bij één van de ministeries die we aan de lijn hebben gehad, werkt maar liefst 60 procent van de computers nog met Windows 7. De woordvoerder zegt dat de administratie bezig is met de upgrades naar Windows 10 en dat dat tot eind februari zal duren. 

De FOD Justitie laat dan weer weten weten dat slechts 279 van de 20.000 computers nog op het oude besturingssysteem draaien. De toestellen worden zoveel mogelijk uit het netwerk geweerd zodat ze niet voor problemen kunnen zorgen.

De FOD Buitenlandse Zaken, Buitenlandse Handel en Ontwikkelings­samenwerking is volop bezig met een upgrade, maar kan niet zeggen over hoeveel computers het gaat. En de FOD Financiën laat op zijn beurt weten dat "minder dan 200 van de 20.000 computers op Windows 7 draaien". De woordvoerder benadrukt wel dat deze toestellen niet verbonden zijn met het netwerk, en dus niet kwetsbaar zijn voor cyberaanvallen.

Binnenlandse Zaken, Volksgezondheid, Veiligheid van de Voedselketen en Leefmilieu, Economie, KMO, Middenstand en Energie en Sociale Zekerheid hebben de upgrade naar Windows 10 wel al uitgevoerd. 

Hoe zit het in Vlaanderen? Daar horen we dat "ongeveer 10 procent van de 27.000 computers nog met Windows 7 werken". Men laat wel weten dat de veiligheid van alle toestellen gegarandeerd is.  

Waarom is het belangrijk om een besturingssysteem te updaten? "Als je niet het meest recente systeem hebt, kunnen hackers na verloop van tijd steeds makkelijker een (bekende) kwetsbaarheid gebruiken om in te breken", zegt Emmanuel David, die cybersecurity-expert is bij Securelink. 

"Het besturingssysteem vormt de basis van je computer. Alle programma’s draaien op dat systeem. Met andere woorden: als je besturingssysteem niet meer veilig is, zijn ook die programma’s niet meer veilig en kunnen hackers heel veel schade aanrichten." 

En kan een goede antivirusbescherming niet helpen? David vindt dat een antivirus niet voldoende bescherming biedt. "Een antivirusprogramma werkt ook op het besturingssysteem. En als dat niet veilig is, zal het antivirus ook niet helpen."

Als een kwetsbaarheid ontdekt wordt in een besturingssysteem, komt Microsoft normaal gezien met een "patch" of een veiligheidsupdate die het systeem veilig moet maken. Maar voor Windows 7 wordt zo’n patch niet meer gemaakt, omdat Microsoft zich meer wil toeleggen op de ondersteuning van Windows 10. 

David wil ons wel geruststellen. "Op dit moment zijn er nog geen kwetsbaarheden ontdekt na het stopzetten van de ondersteuning. Maar dit betekent niet dat ze binnenkort ontdekt kunnen worden. Hackers zijn constant op zoek naar kwetsbaarheden of 'exploits' van programma’s om ze te gebruiken om in te breken."

Wat kunnen bedrijven en organisaties doen om hun computers te beveiligen? "Dat kan op verschillende manieren", zegt specialist Patrick Viaene van Microsoft. "De eerste en meest voor de hand liggende is een update doen naar Windows 10. Bedrijven die een licentie hebben kunnen dat kosteloos doen."

Bedrijven die niet over zo'n licentie beschikken, moeten de update kopen. Ten slotte biedt Microsoft nog 3 jaar lang een ondersteuning voor Windows 7. "Die ondersteuning is betalend en wordt elk jaar duurder. Eigenlijk is het maar een uitstel, want vroeg of laat moet het bedrijf toch overstappen op Windows 10", legt Viaene uit. 

Maar er is ook nog een andere reden waarom bedrijven wachten met een update. Veel bedrijven werken met computerprogramma’s die alleen op Windows 7 werken. Viaene: "Overstappen naar Windows 10 betekent dat ze al die applicaties opnieuw moeten aankopen en dat kost geld. Daarom kiezen ze nu voor een aparte, betalende ondersteuning." Zo gaat de Duitse overheid 800.000 euro vrijmaken om 33.000 computers, die draaien op Windows 7, te beveiligen. 

Dat een update van het besturingssysteem belangrijk is, hebben we gezien bij de "Wannacry"-cyberaanval van 2017. Toen legden hackers 230.000 computers in 150 landen plat. Zij gebruikten een kwetsbaarheid in Windows XP, dat op dat moment niet meer ondersteund werd, om in miljoenen computers in te breken. Toen het nieuws bekend raakte, moest Microsoft noodgedwongen een nieuwe update uitbrengen. 

De overheidsdiensten die nog met Windows 7 werken, verzekeren ons dat de risico’s in kaart zijn gebracht. Ze zeggen goed op de hoogte te zijn van de mogelijke gevaren en doen er alles aan om de risico’s te beperken. 

Zolang Windows 7 geen grote kwetsbaarheid heeft - wat voorlopig het geval is -, kunnen de administraties op beide oren slapen. Maar wat als die ontdekt wordt door een hackerscollectief? Dan kan de schade aanzienlijk zijn.