Vooruitgang introduceert onvermijdelijk ook problemen. Dat is niets nieuws, maar de ernst van de problemen groeit. Normaliter genereert een nieuw probleem een geheel nieuwe industrie die zich opwerpt om het aan te pakken. Denk aan de komst van netwerkpc’s in kantoren die de markten voor bekabeling, ‘bridges’, netwerkmonitoren enzovoort, creëerde. Bedrijven als Cisco groeiden hierdoor. Terwijl er een gevestigde markt was voor het ondersteunen van cluster- en sna-controllers, domineerden de nieuwe bedrijven.
Beveiliging is de grootste nieuwe marktsector in de ict. Vanaf de dag dat interactieve terminals met een computer werden verbonden, was er een veiligheidsprobleem, maar de komst van internet heeft het probleem blootgelegd. De ernst ervan is nu enorm.
Vroeger kreeg de computer zijn invoer in batchvorm, via ponskaarten. Zelfs de eerste terminals waren verbonden met een speciaal datavoorbereidingssysteem, dat gegevens aan de hoofdcomputer aanbood, maar geen directe toegang toestond. De minicomputerrevolutie veranderde dat allemaal. Digital zette de toon met de PDP-11 en zijn RSTS-besturingssysteem (in de eerste plaats bestemd voor interactieve wetenschappelijke applicaties voor meerdere gebruikers) als klein bedrijfssysteem. IBM en andere concerns moesten reageren, en het interactieve System 36 en 38 verdrongen het batchgeoriënteerde System 3. Er was sprake van een sneeuwbaleffect en interactieve terminals werden de norm bij alle systemen.
Veiligheidsproblemen waren weliswaar cruciaal, maar beperkten zich voornamelijk tot wachtwoordbeheer. Op de meeste systemen viel makkelijk in te breken, omdat sommige gebruikers leerden dat ze hun wachtwoord onder een programmeerbare functietoets konden opslaan, die iedereen kon indrukken. De eerste les hieruit was dat discipline essentieel is.
De komst van netwerkpc’s deed het beveiligingsprobleem toenemen, niet omdat de pc intrinsiek kwetsbaarder was dan een karakter-terminal, maar omdat dezelfde pc te gebruiken was voor zowel kantoorfuncties als gegevensverwerking. Er was dus een veel grotere en diversere groep gebruikers. Hier doen de voordelen van toegenomen functionaliteit de kosten van beveiliging te niet.
Internet is een heel ander verhaal, omdat sprake is van oncontroleerbare externe gebruikers én werknemers. De meeste webgebaseerde systemen zijn onafhankelijk gebouwd van de belangrijkste interne systemen, terwijl applicatieservers worden gebruikt om het ‘front-end’ van het web te integreren met de kernsystemen. Terwijl dit een isolatie biedt tussen de internetgebruiker en de belangrijkste systemen, impliceert de behoefte aan communicatiepoorten dat er een loop naar andere systemen is die slimme hackers kunnen gebruiken. Problemen als virussen in een onschuldige e-mail ondermijnen het pc-netwerk en verstoren alle interne systemen indirect. Of het direct of indirect gebeurt, dat maakt niet uit. Het is een probleem. Er bestaat angst voor verstoring van de applicaties, maar de mogelijkheid van toegang tot databases is even verontrustend.
Het andere veiligheidsprobleem dat internet creëert, is te wijten aan de aard van de geboden diensten. Een interactieve ‘consumer to business’ e-handelapplicatie moet aantrekkelijk, makkelijk te gebruiken (dat is overigens niet het geval met het merendeel van de aangeboden applicaties) en toch veilig zijn, uit het perspectief van zowel het bedrijf als de klant. Veiligheid en gebruiksgemak zijn conflicterende eisen en waren altijd problematisch. De eenvoudigste manier om de oude mainframes gebruiksvriendelijker te maken was door de beveiliging eraf te halen. In de praktijk moet een compromis gesloten worden.
De interne systemen en b2b e-handel zijn blootgesteld aan een beperktere groep gebruikers en zijn daarom wat makkelijker onder controle te houden. De gebruikers ervan zullen eerder beperkingen accepteren ten gevolge van beveiliging dan internetgebruikers. Er is echter geen ontkomen aan: professioneel misbruik gebeurt weliswaar op kleinere schaal dan hacken via internet, maar het effect van één hack kan enorm zijn. Jarenlang dacht men dat interne gebruikers goed waren voor 75 procent van de computerfraude. Momenteel is het 50/50. Dat komt doordat de externe fraude is toegenomen, en niet door een reductie van het interne probleem.
Beveiliging is kortom een noodzakelijk kwaad.
Martin Healey, pionier ontwikkeling van op Intel gebaseerde computers en c/s-architectuur. Directeur van een aantal it-bedrijven en professor aan de Universiteit van Wales.
