Er komt een connectieverzoek binnen op je firewall. Vertrouw je erop dat die connectie van goede komaf is, of niet? De firewall beslist daarover, dat is onze poortwachter. Maar wie bepaalt nou eigenlijk wat er in de firewall aan regels staat? Natuurlijk, dat is de beveiligingsdeskundige, die weet precies welke bedreigingen er zijn, en hoe we ermee moeten omgaan. Denken we.
Quis custodiet ipsos custodes? Oftewel, wie bewaakt de bewakers? Dat vroegen de Romeinen zich ook al af. Ik ken security-deskundigen die absoluut integer zijn, en alleen over reeële bedreigingen zullen praten. Ik ken ook security-deskundigen die er vooral op uit zijn om de mensheid bang te maken, zodat ze hun dienstverlening en producten op het gebied van beveiliging kunnen verkopen.
Hoe weet je of een beveiligingsdeskundige het beste met je voor heeft? En of een mogelijk beveiligingslek daadwerkelijk een risico is? De gebruikelijke manier is om met een voorbeeld aan te tonen dat een lek door kwaadwillenden benut kan worden. Tegelijk is dat voorbeeld natuurlijk erg gevaarlijk, want als het bekend wordt, kan het worden misbruikt. Met een mooie term heet dat ook wel een ‘zero-day attack'. De integere beveiligingsdeskundige zal dit voorbeeld dus graag geheim willen houden. De beveiligingsdeskundige die je alleen bang wil maken, kan je het voorbeeld niet geven. Netto effect is dat je beide soorten deskundigen niet uit elkaar kunt houden.
De vraag blijft hoe je dan de goede bewakers van de slechte kunt onderscheiden. Hoe kun je achterhalen of een geschetste bedreiging daadwerkelijk een bedreiging is? Vooropgesteld, ik wil beveiligingsproblemen niet bagatelliseren en ik beweer zeker niet dat firewalls en virusscanners overbodig zijn. Integendeel, ze zijn nauwelijks in staat om de belangrijkste bedreigingen tegen te houden. Er is dus reden tot zorg. Er is reden tot heel veel zorg. Maar niet over alle bedreigingen. Laat de beveiligingsdeskundige dus geen solospeler worden die naar eigen goeddunken keuzes maakt.