Microsoft waarschuwt voor einde ondersteuning WINS vanaf 2034

Wat mij vooral triggert in jouw reactie is niet zozeer óf die legacy-opstellingen bestaan (dat ontken ik nergens), maar hoeer naar de risico’s en kosten gekeken wordt. Jij wijst terecht op survivorship bias aan mijn kant, ik zie vooral de niet zo "survivorship". Maar er zit aan de andere kant óók een flinke bias: “het draait al jaren zo, dus het zal wel goed zijn”.

Als je uitzoomt naar onderzoeken van o.a. security-clubs zoals Veritas, consultants en risicostudies van Mitre, Sans en Mckinsey, zie je een vrij consistent beeld: een enorm deel van de organisaties onderschat de impact van legacy-afhankelijkheden. Niet alleen een beetje, maar structureel. Er zijn surveys waar grofweg 40 - 60% van de bedrijven aangeeft dat ze hun risico’s achteraf gezien toch te rooskleurig hadden ingeschat, terwijl tegelijkertijd 60%+ zegt dat legacy-systemen inmiddels “merkbare tot ernstige negatieve impact” hebben op kosten, wendbaarheid of veiligheid. Dat zijn geen incidenten meer, dat is gewoon patroon. (zie onderaan voor bronnen)

Dat zal vast grotendeels financieel zijn, gok ik zo...

Ja, omdat dus niet het hele plaatje bekeken wordt.

En daar komt dan nog iets bij wat je in de praktijk bijna nooit scherp ziet: OpEx. Iedereen staart zich dood op CapEx, die 20, 30 of 40k die een nieuwe besturingskast, PLC of machine-interface kost. Maar de rekening van “gewoon laten draaien” betaalt zich uit in een hele reeks onzichtbare posten: extra beheeruren, uitzonderingsregels in je netwerkontwerp, aparte monitoring, maatwerk­koppelingen, dure consultants die wél nog weten hoe die oude zooi werkt, hogere risico-profielen bij verzekeraars, projecten die duurder en trager zijn “omdat die ene oude doos niet mee kan”. Als je dat netjes uitsplitst, kom je in de praktijk heel vaak uit op 20 - 40% hogere operationele kosten over de levensduur van zo’n systeem, en in industriële OT-omgevingen soms nog hoger.

Hier een voorbeeld van Stantec:

quote: https://www.stantec.com/e...cy-operational-technology

Many utilities don’t see the full cost of owning their operational technology systems. They often place their focus on the upfront capital cost.

A forward-thinking OT plan should include:

• Lifecycle-aligned investment models. These plan for upgrades, training, and long-term support.
• Open system architectures. This helps to avoid vendor lock-in and encourages integration.
• Transparent, scalable pricing structures. These allow for flexible growth.
• Built-in cybersecurity that’s aligned with evolving standards from the National Institute of Standards and Technology.
• Operator training and simulation tools to support team readiness from day one.

Utilities like those in San Diego, San Francisco, and the Great Lakes Water Authority are already using this approach. We’ve helped them embed long-term planning into their OT strategy. And we’ve seen results like 20 times return on investment, lower lifecycle costs, and greater workforce resilience.

Dat is ook precies waarom ik zeg: een risico-analyse zonder impact-component en zonder deze verborgen kosten is eigenlijk geen echte analyse. “Het gaat al jaren goed” is geen datapunt, het is een gok die tot nu toe goed is uitgepakt. Het probleem is dat je nooit van tevoren weet of jíj degene bent bij wie het wel fout gaat. Maersk, NHS, VDL, allerlei waterbedrijven en energie-operators dachten tot op de dag van de klap óók dat hun segmentatie, firewalls en airgap-achtige constructies voldoende waren. Tot een vergeten verbinding, een laptop, een remote verbinding of een stukje supply chain-software alsnog de binnendeur openzette. En dan blijkt dat dat ene verouderde systeem, die “mummy in de hoek”, de ideale springplank is voor alles wat je níet wilt.

Dat betekent niet dat iedere oude PC met een DOS-tool meteen de fabriek opblaast. Natuurlijk niet. In “serieuze plants” barst het van de oude rommel die al jaren zonder zichtbare problemen draait. Maar dat is nou precies wat survivorship bias aan de andere kant is: je ziet de 100 installaties waar het goed gaat en vergeet die paar waar het catastrofaal misging en honderden miljoenen schade veroorzaakte, of de tientallen waar men inmiddels alsnog miljarden in versneld herstel, segmentatie en modernisering heeft moeten stoppen. En dan heb ik het nog niet eens over de minder zichtbare schade: projecten die je niet durft, integraties die je niet doet, kwaliteitsverbeteringen die blijven liggen omdat “dat oude spul het anders niet meer doet”.

Wat ik probeer duidelijk te maken is dit:

ik zeg niet “sloop morgen al je legacy”, ik zeg ook niet dat jij je werk niet goed doet in plants waar dit dagelijks voorkomt. Wat ik wél zeg: als je álle kosten (beheer, beveiliging, overhead, technische schuld, verzekeringen én het staart-risico van een grote klapper) eerlijk in één model stopt, dan is de uitkomst in héél veel gevallen helemaal niet meer zo vanzelfsprekend in het voordeel van “laten we het maar zo laten, want vervangen kost 20k”. Zeker niet als je die kosten over 10-15 jaar uitstrekt.

En dit is niet iets wat ik zelf even bedenk en uit mijn mouw schud, nee dit is gewoon wat de industrie ook gewoon roept:

quote: https://medium.com/@willi...res-the-math-38a5704a8eed

Last month, I walked into a boardroom where the CFO was celebrating a “successful” IT budget reduction. They’d cut operational expenses by 8% year-over-year. What they hadn’t calculated was the $2.4 million in hidden costs their legacy systems were generating annually.

This isn’t speculation. After auditing digital infrastructure across pharmaceutical and healthcare enterprises, I’ve seen the same pattern repeatedly: organizations focus on visible IT expenses while hemorrhaging money through legacy system inefficiencies they can’t see.

The Accumulation Effect

These costs compound annually. A legacy system that costs $2.4 million in year one will cost $2.7 million in year two as technical debt accumulates. By year five, you’re looking at $3.6 million annually. I’ve seen organizations spend more maintaining legacy systems over three years than it would cost to completely modernize their entire digital infrastructure.

Daar komt dan nog bij dat je de lifecycle niet in eigen hand hebt. Of het nou WINS, een oud Windows-platform, een vendor-specifieke runtime of iets anders is: op een gegeven moment trekt iemand extern de stekker eruit. Dan kun je nog zo overtuigd zijn dat het airgapped en firewalled “veilig genoeg” is, maar als de leverancier écht stopt met support, tooling en compatibiliteit, ben je gewoon je strategische speelruimte kwijt. Je zit dan vast in een afhankelijkheid die je in eerdere jaren bewust in stand hebt gehouden, en de rekening valt altijd op het slechtst mogelijke moment.

niet “IT moet altijd winnen van het primaire proces”, maar wel:

als IT zó diep verstrengeld is met je primaire proces dat uitval je miljoenen kost, dan is IT geen bijzaak meer. Dan hoort een volwassen organisatie niet alleen naar de aanschafprijs van een nieuwe kast te kijken, maar ook naar de doorlopende kosten van oud spul én naar de impact als het misgaat. En ja, dan is het antwoord in een serieuze risico- én impactanalyse “meestal nee”: niet omdat ik dat vind als ICT’er, maar omdat de combinatie van verborgen OpEx en potentiële klap simpelweg te groot is om weg te wuiven met “het draait al jaren goed, dus waar maak je je druk om?”.

terwijl dit soort zaken dagelijkse kost is bij de grote plants.

Dat het de realiteit van operations is, betekent niet dat het ook allemaal prima is. Sterker nog, als het echt dagelijkse kost is, dan zit precies daar een money pit van heb ik jou daar.


Meer bronnen:

Bijna de helft van alle organisaties onderschat de risico's die ze lopen in de praktijk.

quote: https://www.veritas.com/n...imate-their-level-of-risk

SANTA CLARA, Calif. – Oct. 17, 2023 – Veritas Technologies, the leader in secure multi-cloud data management, today released findings of new research that shows 45% of organizations may be miscalculating the severity of threats to their business. The study, Data Risk Management: The State of the Market—Cyber to Compliance, which polled 1,600 executives and IT practitioners across 13 global markets, provides insights into the most pressing risks, their impacts and how organizations plan to navigate them.

Despite risk factors like interest rates and inflation pressing hard on organizations, ransomware and multi-cloud complexity are also growing concerns for businesses of all kinds. However, when survey respondents were initially asked whether their organizations were currently at risk, almost half (48%) said no. But after being presented with a list of individual risk factors, respondents of all levels recognized the challenges facing their organizations with 97% then identifying a risk to their organizations.

Notably, 15% of those surveyed did not believe their organizations could survive another 12 months given the risks they currently face. There was a disconnect, however, between the C-suite and those working in the trenches of protecting their organizations’ data, which could point to a communications issue: 23% of senior executives predicted the demise of their organizations in the next year, compared to just 6% of analysts and technicians.

En dan heb je 62% van de organisaties die afhankelijk zijn van legacy:

quote: https://www.saritasa.com/...survey-of-500-u-s-it-pros

62% of organizations still use legacy systems
43% say security vulnerabilities are a major concern
68% rely on their internal IT team for maintenance
50% say the biggest reason they haven’t upgraded is because “the current system still works.”
48% say performance improvements are their top modernization goal

When asked who maintains these legacy systems:

68% said their internal IT departments handle it
20% rely on legacy software specialists
7% outsource to external vendors
5% admitted no one maintains it regularly (which poses a serious risk)

En dan het eindresultaat

quote: https://cloudtweaks.com/2...rmine-roi-and-innovation/

The cost of such reluctance can be staggering. According to CIO Dive, almost two-thirds of businesses spend more than $2 million simply maintaining these outdated systems. Perhaps more concerning, 60% of IT leaders said that their legacy systems are experiencing “moderate to severe negative impact due to technical debt, including outdated code.”

Maar de veelvoud van systemen die geen enkel problemen opleveren en "meer dan legacy" zijn, hoor je niks van.

Er zijn niet zo'n veelvoud aan systemen "die geen enkel probleem opleveren" als jij denkt hoor.

quote: https://sitic.org/wordpre...-OT-ICS-Cybersecurity.pdf

Publicly available channels grossly underreport incidents; for example, almost all respondents indicated having at least one incident, with 90% having some level of impact on the process, yet only high-profile incidents such as Colonial make headlines.

Gaat dus veel vaker fout dan je nu schetst. niet alles hoeft direct een 100% faal te zijn ook.

Grappig hoe jij precies weet hoeveel geld al die bedrijven kunnen besparen

Tsja, precies zou ik het niet willen noemen, maar even 5 minuten googelen leert je voldoende om te zeggen dat het gemiddelde bedrijf gewoon risico's onderschat, OpEx niet meeneemt. Mckinsey, SANS, Gartner, ze zijn allemaal bronnen voor mij om te kunnen stellen dat het gewoon zo is. Betekent niet dat ik niet ook de realiteit zie, maar onze twee waarheden van realiteit en theorie bestaan gewoon naast elkaar.

Ja het is dagelijks kost, nee het is niet slim.