Ik vertrouw het niet want het is open. Dat is de heersende mening als het gaat om de informatiebeveiliging van open source-systemen. Dat wantrouwen wordt gevoed door het idee dat niemand aansprakelijk kan worden gehouden voor open source. “Ze hebben echt geen adres bij open source…!” Alsof gevestigde namen als Microsoft of Oracle de verantwoordelijkheid voor beveiligingsproblemen wél op zich nemen. Fouten in software zijn overal en van alle tijden.
Ik zie dus geen verschil tussen de beveiligingsrisico's van open of gesloten systemen. Ik zie wel dat openheid het in de informatietechnologie altijd wint. En als een hacker een fout vindt of inbreekt in een systeem dan kan die wetenschap of die mogelijkheid om gegevens te stelen een waarde hebben. Omdat informatie schaars is, ontstaat er een markt. Hackers die een fout vinden in een applicatie hebben een waardepapier in handen. Open of gesloten, geen verschil.
Hackers kunnen de eigenaar van de software inlichten en pogen een bepaalde vergoeding te krijgen voor hun vondst. Dat schijnt tegenwoordig nogal eens te lukken. Vooral bij overheden en grote organisaties. En waarom? Omdat als de eigenaar niet betaalt de bug hunter met zijn uitvinding kwaadwillende personen zal proberen te vinden die wel bereid zijn te betalen. Cybercriminelen zijn altijd op zoek naar mogelijkheden om een doelwit schade toe te brengen, in te breken, gegevens te stelen en te eigen bate aan te wenden.
De remedie? Waar ik onophoudelijk voor pleit is het inzetten van een risicoanalyse. En die constant toepassen. Maar wat zien we vaak? De voor de informatiebeveiliging verantwoordelijke persoon stapelt maatregel op maatregel, zekerheid op zekerheid, werpt alle mogelijke hindernissen op, terwijl het duidelijk is dat hij zich druk maakt om de verkeerde dingen. De echte risico's zijn niet in kaart gebracht. Men vergeet dat het gaat om de drie hoofdproblemen: confidentiality, integrity, availability. En dan blijkt dat de echte informatiebeveiliging daar dan niet op is gebaseerd. Wat wél zou moeten.
Onze raad is altijd dezelfde: ontwikkel, eventueel met hulp van derden, een begrijpelijke risicoanalyse en geloof in het belang van objectieve controlemogelijkheden. Want onthoud dat de vijand aan de andere zijde echt bestaat en dat hij niet ophoudt met zoeken naar mogelijkheden om uw bedrijfs- en klantgegevens te bemachtigen, of u nu met open of gesloten systemen werkt.
Remco Bakker
Algemeen Directeur bij irC2
