Schade door virusaanvallen is niet onontkoombaar, stelt Gregor Petri van Computer Associates. De oplossing ligt in beter management van de bestaande technologieën. We moeten ophouden met het accepteren van virussen als iets vanzelfsprekends en de schuld zéker niet afschuiven op ‘domme internetters’.
In het artikel ‘Internetters hardleers’ (Computable, 29 augustus 2003) maar ook in diverse andere media en zelfs op het Journaal werd afgelopen weken op recente virusaanvallen, zoals Blaster en Sobig, door diverse leveranciers gereageerd met een houding van: "ach, onze producten zijn nu eenmaal complex, hackers zijn nu eenmaal slim en gebruikers zijn nu eenmaal dom".
Deze houding is vergelijkbaar met de autodealer die twintig jaar geleden zei: "ach meneertje, iedere auto wil wel eens een keer niet starten" of de gsm-aanbieder die tien jaar geleden zei: "tja, als u van de snelweg afgaat, wordt de dekking natuurlijk minder". Die houding leek destijds acceptabel. Inmiddels weten we beter en vertrouwen we blind op onze auto’s en gsm’s. Uit de recente reacties op de virusaanvallen lijkt het echter alsof het nog wel zo’n tien jaar kan duren voordat we ook op een dergelijke manier op onze it kunnen vertrouwen. De oplossing is mijns inziens echter helemaal geen kwestie van wachten op betere technologie, maar een kwestie van beter management van de bestaande technologie.
Ook vandaag is het al mogelijk om systemen adequaat te beschermen, zonder dat de organisatie een Fort Knox wordt of dat de kosten de pan uitrijzen. Maar dan moeten we dit wel écht willen. Er zijn nog te veel organisaties die beveiliging overlaten aan de individuele systeembeheerders. We vertrouwen erop dat zij, in de tijd die ze over hebben, de sites van alle leveranciers in de gaten houden, inschatten wat er voor ons van belang is en dat vervolgens installeren zonder dat wij er last van hebben.
Dat is geen realistische verwachting. Los van het feit dat ik geen systeembeheerders ken die regelmatig tijd over hebben, heb ik twijfels over de carrièrekansen van een systeembeheerder die zegt: "sorry, ik kan u niet helpen met uw printprobleem, want ik ga nu eerst bij IBM, Microsoft, Oracle en Novell kijken of er misschien nieuwe patches zijn voor problemen die we nu nog niet hebben". Met andere woorden: als we op de individuele specialisten blijven vertrouwen, dan zullen we de komende maanden/jaren nog veel meer virusaanvallen meemaken en daarover nog vele verhalen in de krant lezen of op de tv zien.
Industriële aanpak
We zijn het er allemaal over eens dat enkel het installeren van anti-virusfilters en firewalls niet genoeg is en dat we veel pro-actiever om moeten gaan met de problematiek van patches, maar hoe doe je dat? De systeembeheerders gewoon vragen harder of langer te werken is een optie – zeker in deze economisch barre tijden – maar of hun grotere inzet zoden aan de dijk zet is twijfelachtig. Of we willen of niet, we zullen van een veelal erg traditionele en ambachtelijke manier van werken in de it moeten overschakelen naar een industriële aanpak. We vertrouwen nog te veel op de kennis en kunde van de individuele ambachtsman.
Industriële kwaliteit en betrouwbaarheid zijn ook voor it-processen te realiseren. Maar niet als iedereen individueel te werk gaat, ongeacht de professionaliteit van de betrokken personen. De schoenmaker die zelfstandig een paar schoenen van zool tot bovenstuk kon maken, was ongetwijfeld een professional, maar inmiddels is zijn vak uitgestorven omdat hij te duur was. En in de auto-industrie kan enkel Rolls Royce zich nog zo’n manier van werken veroorloven. Er zijn kennelijk nog voldoende rijke klanten die ervoor willen betalen. Weinig organisaties zijn bereid een prijs van hetzelfde niveau voor hun it-ondersteuning neer te tellen. Daarom is het zaak te kijken welke aspecten van it-beveiliging we op industriële schaal kunnen uitvoeren.
In feite zijn er drie eenvoudige stappen nodig voor een meer pro-actieve bescherming:
1) kijken welke software er binnen de organisatie draait;
2) kijken welke patches daarop geïnstalleerd zouden moeten worden;
3) het installeren van die patches.
Al jaren zijn er tools die automatisch in kaart brengen welke software binnen een onderneming actief is, waarmee punt 1 snel is afgehandeld. Het tweede punt was tot voor kort het bewerkelijkst. Inmiddels zijn er kennisbanken die voor software van diverse leveranciers aangeven welke patches relevant zijn. En doordat deze – door teams van specialisten bijgehouden – kennisbanken door duizenden klanten over de hele wereld worden gebruikt, zijn de kosten per deelnemer relatief beperkt. Ten slotte zijn er ook voor het laatste punt, het automatisch distribueren en installeren van software naar honderden of duizenden pc’s en servers, al jaren zogenaamde ‘software delivery tools’ beschikbaar.
Sommige organisaties hebben alle drie de stappen al gezet. In ons bedrijf is de procedure afgelopen weken grotendeels verlopen zoals hiervoor beschreven. Maar voor veel organisaties lijkt dit allemaal nog een stap te ver. Waarom?
Wellicht omdat ambachtslieden vaak de laatsten zijn die baat hebben bij een industrieel geautomatiseerd proces ("ik ben toch zeker vakman en geen lopendebandwerker") of omdat het management de benodigde investering nog niet kan rechtvaardigen. Soms omdat de benodigde schaalgrootte ontbreekt, maar veelal omdat de gevolgen van een virusaanval tot op heden niet serieus genoeg zijn. Met ander woorden: doormodderen blijft een optie. Als het middelgrote Haarlemse uitgeefbedrijf uit het artikel ‘Internetters hardleers’ echter geen weekblad maar een dagblad had uitgegeven, dan zou er bij veel mensen die ochtend geen krant op de mat hebben gelegen. En ga dat als it-chef maar eens uitleggen aan je baas. Of erger, aan je klanten!
Doordat bedrijfsprocessen in grote mate afhankelijk zijn van it en met name van pc’s, is de tijd rijp voor een industriële aanpak. Blaster en Sobig zijn (nog relatief vriendelijke) aansporingen in deze richting. Deze verandering kan echter niet worden ingezet door individuele it’ers, het management zal moeten aangeven dat men deze kant op wil. Het management maakt het verschil, ook in de it.< BR CLEAR=LEFT>
Gregor Petri, pr manager Computer Associates
