dinsdag 18 april 2017

Zoek altijd naar de balans

Column uit het FD.

Zoek altijd naar de balans

Kinderlijk eenvoudig – het is een term die journalisten graag gebruiken in artikelen. Waarom? Het legitimeert waarom de journalist over het onderwerp schrijft. In een ‘professionele’ samenleving behoren ‘kinderlijk eenvoudige’ problemen immers niet te bestaan.

Maar in cyber security betekent kinderlijk eenvoudig vooral: na jarenlange ervaring en interesse in een vakgebied de juiste tools weten te vinden die de klus met één druk op de knop kunnen uitvoeren. Niet zelden zit er een ontwikkeltraject van twee jaar of langer vast aan zo’n tool. Allesbehalve kinderlijk eenvoudig dus.
Deze week kwam het veel besproken rapport over de IT-security van de gemeente Rotterdam naar buiten, dat was opgesteld in opdracht van de Rekenkamer. Volgens de Rekenkamer zou burgemeester Aboutaleb direct fysiek gevaar lopen, omdat zijn agenda door hackers ingezien kon worden. Dat is geen geringe statement.
Ik weet ook niet of het verstandig is dat IT-deskundigen nu ook terrorisme-deskundige gaan spelen. Wat ik wel weet, is dat je als terrorist enorm veel risico’s neemt als je fysiek een gebouw gaat binnendringen, om dan via technische hulpmiddelen de agenda van de burgemeester in te kunnen zien. En dan moet je maar hopen dat het nog lukt ook!
Over de publicatie van het rapport was veel te doen. De gemeente Rotterdam wilde uitstel om eerst problemen op te lossen. Buiten het feit dat het niet slim is om uitstel te vragen, omdat dat alleen maar meer media-aandacht veroorzaakt, had de gemeente weinig reden om zich te schamen. De penetratietest die was uitgevoerd bleek een doodnormale test. Ook lijken de resultaten van het onderzoek op de situatie die bij elke gemiddelde onderneming in Nederland wordt aangetroffen.
Maar in het rapport stond ook dat de hackers het na één week proberen niet gelukt was via het internet het interne netwerk van de gemeente binnen te dringen. Dat is bovengemiddeld goed! Meestal lukt dit namelijk wel. Het enige waar de gemeente zich voor mag schamen, is dat het sinds een test in 2015 geen verbeteringen heeft doorgevoerd.
Het aantal aanwezige kwetsbaarheden in een IT-omgeving of in software zegt alleen iets over de volwassenheid van de engineers of developers, meer niet! Beoordeel een bedrijf of de software dus nooit op het aantal kwetsbaarheden dat aanwezig is. Beoordeel het bedrijf op de wijze hoe het met deze gevonden kwetsbaarheden omgaat.
Binnen cyber security zijn we van twee factoren afhankelijk: de techniek en de mensen. Als we beide problemen kunnen oplossen, zijn we 100% veilig. Het vervelende is alleen dat de techniek door mensen gemaakt wordt. En mensen die geen fouten maken bestaan niet.
Techniek die door mensen gemaakt is, zal dus altijd fouten bevatten. Fouten kunnen we langzaamaan oplossen, en daardoor wordt een product steeds veiliger. Maar het probleem van de mens is dat we continu nieuwe producten willen. En zodra we met iets nieuws beginnen, begint de hele riedel weer van voor af aan.
En dat is exact wat we met het Internet of Things gaan zien. Fouten uit de jaren ‘80 gaan weer terugkomen.Mocht het ons techneuten desondanks toch ooit lukken een stukje software te bouwen dat 100% veilig is, dan ben ik nog steeds de eerste die de deur opent als er iemand met een Kalasjnikov voor de deur staat.
Kortom: 100% veiligheid bestaat niet. Zoek altijd naar de balans! Kijk naar datgene wat u in potentie iets kan opleveren, en zorg er tegelijk voor dat áls het fout gaat, de impact zo laag mogelijk is! Een rapport schrijven over dingen die fout gaan is het gemakkelijkste wat er is. Maar bedenken hoe iets dan wel goed gaat werken: dat is wat we echt nodig hebben. Wees niet bang voor fouten, het betekent alleen maar dat u innovatief bezig bent.