Ook het afgelopen jaar zijn er weer enorme bedragen geïnvesteerd in technologie die onmisbaar heet te zijn om een modern bedrijf draaiende te kunnen houden. Een gevolg van al die investeringen is dat we soms het zicht kwijtraken op wat we in huis hebben. Veel organisaties weten niet precies welke hardware en software ze gebruiken, laat staan waar die middelen zich bevinden en wie zich erover moet ontfermen.
Dat dit gebrek aan inzicht soms tot verrassende resultaten kan leiden, ondervinden de hoofdpersonen van dit verhaal, twee imaginaire IT-auditors die zijn ingeschakeld door een gerenommeerde instelling in een niet nader te specificeren sector. Hun opdracht: ga in het netwerk op zoek naar de sporen van een fraudezaak. Klinkt niet al te moeilijk. Aan de slag.
Een goede IT-auditor grijpt in zo’n geval niet meteen naar zijn checklist, maar probeert eerst te achterhalen waar zulke sporen eventueel aangetroffen zouden kunnen worden. Zo ook ons duo. Snel een afspraak gemaakt met de verantwoordelijk beheerder en zijn collega’s, allen externe medewerkers. De interviews leveren niet direct de gewenste informatie op. Binnen de hele organisatie is niet één beheerder te vinden die precies weet waar het netwerk begint en waar het ophoudt. Bij de beheerafdeling hangen keurige netwerkschema’s, maar geen twee schema’s zijn hetzelfde en geen van de schema’s lijkt te kloppen. Het ziet er allemaal net iets te mooi uit.
Het tweetal besluit eens langs te gaan bij de configuratiebeheerder. Helaas kan hij, ook een externe medewerker, niet garanderen dat de inhoud van zijn ‘configuration management database’ juist en volledig is. Hoog tijd voor een traditionele inventarisatie. Gewapend met een digitale camera gaan onze auditors op inspectie in de ruimten waar apparatuur moet staan. Die camera blijkt een slimme zet. De chaos die ze aantreffen is nauwelijks te vangen in de deftige woorden van een auditrapport. Overal staat ongeregistreerde hardware. Kabels hangen als lianen uit de gaten waar ooit plafondplaten gezeten moeten hebben. Routers en switches staan op de meest bizarre locaties, waaronder de bezemkast en het invalidentoilet. Servers staan te draaien in voormalige opslagruimten en lege magazijnen, achter krakkemikkige wandjes van gipsplaat, ruw hout en draadgaas. De fotoreportage laat weinig aan de verbeelding over.
Intussen hebben onze helden nog steeds geen goed beeld van het netwerk. Wat nu? Het antwoord komt van een collega die is gespecialiseerd in netwerkbeveiliging. Bij zijn ‘hacking’-opdrachten maakt deze professional vaak gebruik van eenvoudige tools waarmee hij precies kan achterhalen hoe een netwerk in elkaar zit, uit welke componenten het bestaat, hoe die componenten zijn ingericht en hoe ze zijn beveiligd. Krachtige wapens in handen van een hacker, maar ook zeer bruikbaar voor het inventariseren van dingen die verder op geen enkele manier meer te inventariseren zijn.
De tools worden op een Linux-laptop geïnstalleerd en het speurwerk kan beginnen. De eerste resultaten zijn opmerkelijk. Het netwerk blijkt niet uit honderden, maar uit vele duizenden onderdelen te bestaan. Onderdelen die nergens geregistreerd staan. Servers met exotische besturingssystemen die nooit officieel in gebruik genomen zijn. Onbekende werkstations. Schaduwnetwerken. Hobbysystemen met suggestieve namen. Interne websites voor bepaald onzakelijke toepassingen. Hoe dieper de auditors prikken, hoe meer ze vinden. Achter onschuldige routers blijken omvangrijke en tot dan onbekende netwerken schuil te gaan. Netwerken waarvan steeds minder duidelijk wordt aan wie ze toebehoren. De organisatie zelf? Andere organisatieonderdelen? Toeleveranciers? Klanten?
Als het budget op is, brengen de auditors rapport uit. Ze eindigen hun simpele fraudeonderzoek met een iets andere conclusie dan verwacht: uw netwerk is zo’n chaos dat het op dit moment geen zin heeft op zoek te gaan naar de sporen van een enkel fraudegeval. De opdrachtgever krijgt niet helemaal waar hij om had gevraagd, maar is toch zeer tevreden. Het opschonen van zijn netwerk zal hem uiteindelijk een forse besparing opleveren.
Bovenstaand verhaal is natuurlijk fictief; elke overeenkomst met de werkelijkheid berust op louter toeval. Toch zal geen enkele netwerkbeheerder ontkennen dat er op het gebied van configuratiebeheer nog veel te verbeteren valt. Als je niet weet wat je in huis hebt, kun je het ook niet beheren en al helemaal niet beveiligen. Wie wel eens wil weten hoe zijn netwerk precies in elkaar steekt, kan met simpele tools een heel eind komen – maar moet daarbij wel beschikken over een dosis durf en een sterk gestel. Want wat zich in de kruipruimte van onze IT-omgevingen afspeelt, kan het daglicht niet altijd verdragen.