Eerder dit jaar was er grote paniek in Duitsland omdat pinterminals onbruikbaar waren en een paar dagen terug verscheen in de tech pers een melding over Cisco VPNs die onveilig waren. Twee totaal verschillende soorten hardware, maar ze hebben gemeen EOL te zijn en dat rechtvaardig kritisch kijken naar de verkopers hiervan.
Verifone pinterminals
Van de ene op de andere dag was het in juni op eens bijna niet meer mogelijk te pinnen in Duitsland. Tienduizenden terminals van marktleider Verifone gaven foutmeldingen. De grootste Supermarkten, bouwmarkten, benzinestations en talloze retailers moesten overschakelen naar cash only of de winkel sluiten.
De storing leidde tot grote onrust in Duitsland. Zaten hier de Russen achter? Voor de betrokken winkels was er ook nog andere onrust. Meer cash in huis vergroot de kans op overvallen. Storingen in de IT kan ook een signaal zijn dat er cybercriminelen in het netwerk zitten.
De oorzaak bleek niets met cybercriminelen te maken hebben. De Verifone toestellen die dienst weigerden waren allemaal van een oudere serie. Het nieuwste certificaat liet zich daar niet op installeren. Al snel bleek dat er nog iets aan de hand was. Het was niet zo zeer een oudere serie die met de fout te maken had, deze serie was al meer dan een jaar geleden door Verifone EOL verklaard.
Cisco VPNs
Vorige week maakte Cisco bekend geen patch uit te brengen voor een lekke VPN. Het gaat om RV110W, RV130, RV130W, en RV215W devices. Kleinere machines bedoeld voor het MKB. De reden waarom Cisco hier geen patch meer voor ontwikkeld is dat de hardware te oud is. Sinds 2017 kunnen de eerste twee series dan ook niet meer besteld worden, voor de andere modellen is dat vanaf 2019 het geval. End of Service en End of Life dus. Daarmee zijn deze devices niet geheel van de markt verdwenen. Ze worden nog steeds op de bekende marktplaatsen aangeboden, door zowel de eindgebruikers als door handelaren.
Verkopers
Wat is de overeenkomst tussen deze Verifone en Cisco zaak? Het antwoord is simpel. Ook al worden bepaalde hardware niet meer door de fabrikant geleverd, in het kanaal kan nog steeds sprake zijn van voorraad. Dat distributeurs en resellers van de oude handelsvoorraad af willen is begrijpelijk. Deze twee cases laten echter zien dat daar ongekend grote risico’s aan verbonden zijn. Het is onvoorstelbaar dat men pinterminals en VPNs nog aanbiedt en installeert terwijl duidelijk moet zijn dat de fabrieksondersteuning daarvoor is opgehouden. Evenzo is het zeer onwaarschijnlijk dat in alle gevallen de eindklant hier over op een correcte wijze is geïnformeerd.
Het inzetten van oudere of gebruikte hardware hoeft niet problematisch te zijn en is om meerdere redenen een goede keuze. Als het echter leidt tot dit soort incidenten dan is dat eveneens om meerdere redenen onacceptabel. Daarom zou het goed zijn simpelweg te verbieden hardware die niet meer ondersteund wordt te verkopen, installeren of servicen, zonder dat de klant vooraf is gewezen op de risico’s. Dit soort zaken zwart op wit vastleggen is trouwens altijd goed om claims rond aansprakelijkheid te kunnen pareren. Dat staat dan nog los van het feit dat dit soort fails koren op de molen zijn van overheden die betere dienstverlening van de sector wil afdwingen.
