Als hackers in het nieuws zijn, wordt vaak het beeld geschetst van halfcriminele organisaties die grote bedrijven en instellingen op de korrel hebben en hacken uit vernielzucht of eigen gewin. Dat beeld klopt niet. Bedrijven zouden de meeste hackers dankbaar moeten zijn.
Hackers zijn vaak computerprofessionals die systeemlekken naar boven brengen. Er zijn er maar een paar die zich eenmaal binnen bij een systeem tot vandaal ontpoppen. De meeste hackers melden een lek aan de systemadministrator en dragen er zo toe bij dat het systeem veiliger wordt. Denk aan Brenno de Winter die belangrijke it-fouten heeft aangetoond in het systeem voor de OV-chipkaart. Hoewel men erg defensief reageert op zijn bevindingen, heeft hij het bedrijf dat de kaart ontwikkelt en de overheid veel geld bespaard.
Dat er gehackt wordt, is niet opzienbarend, maar wél dat het vaak kinderlijk eenvoudig is om een systeem binnen te dringen. Je hoeft daarvoor tegenwoordig geen techneut meer te zijn. Je vindt op internet tientallen programma’s en scripts die dat mogelijk maken. Een kind kan de was doen. Als je geen actuele en gedegen beveiligingsoplossing hebt, heb je zo gasten op je netwerk.
Maar beveiliging zit ‘m niet alleen in techniek. Je kunt een systeem technisch volledig dichttimmeren, maar dan logt een medewerker in op het bedrijfsnetwerk via een open wifi-verbinding of zet via een usb-stick die hij van een kennis gekregen heeft, een leuk programmaatje op zijn kantoor-pc. Of de wachtwoorden zijn bijzonder makkelijk te achterhalen.
Veel beheerders denken nog veel te gemakkelijk over netwerkbeveiliging. Alleen even wat hardware ter beveiliging installeren en klaar. Dan wordt het wel erg simpel voor kwaadwillenden. Veiligheid is geen toestand, maar een continu proces. Het centrale systeem en de werkplekken van de gebruikers moeten voortdurend geüpdate worden naar de laatste stand van de beveiliging, er moet een duidelijke policy zijn voor het veiligheidsgedrag in en buiten de organisatie en medewerkers moeten steeds ‘opgevoed’ en geïnformeerd worden. Bijna driekwart van de beveiligingsrisico’s wordt veroorzaakt door interne fouten en slordigheden.
De grootste fout die bedrijven misschien nog wel kunnen maken, is te denken dat hacks en aanvallen op het systeem alleen bij grote, internationaal opererende organisaties voorkomen. Dat zou je kunnen concluderen uit de berichtgeving, maar uit onze gegevens komt naar voren dat 90 procent van de it-aanvallen gericht is op het midden- en kleinbedrijf. Dat cijfer zou bedrijven en organisaties tot nadenken moeten stemmen. Maar beter nog zou het een dringende call to action moeten zijn!
“De meeste hackers melden een lek aan de systemadministrator”. Waar is die stelling op gebaseerd? Me dunkt dat de meeste hackers zich juist niet zullen melden en daardoor ook nooit in de statistieken komen. Wat we zien/weten is eerder het topje van de ijsberg.
De beveiliging in ICT land schiet ernstig tekort. Voor mij is de belangrijkste oorzaak daarvan de almaar toenemende complexiteit ervan die zelfs door de ICT specialisten vaak niet meer kan worden overzien, laat staan de consument.
Een systeem dat niet wordt begrepen is inherent onveilig. Binnen ons bedrijf geldt als één van de basis principes “Vermijd complexe oplossingen en kies voor eenvoudige alternatieven, zelfs als dat ten koste gaat van functionaliteit”. Mij lijkt dat met name dat laatste ook veel consumenten zouden toejuichen die nu door het feature-bos de functionaliteit niet meer zien.
Een collega zei mij eens: “Als de oplossing complex is heb je het probleem niet begrepen”.
Mischien dat we eerst maar eens even op de rails moeten zetten wat nu eigenlijk een hacker is.
Kenlijk laat de computable lezer zich maar al te graag leiden door de romantisering dan wel criminalizering van de media.
Waneer we daarna hebben vastgesteld wat een hacker nu eigenlijk is en waar hij zich mee bezighoud, kunnen we welicht eens vaststellen hoeveel van al die selfproclaimed scripkiddies nu eigenlijk zelf in staat zijn om zelf iets uit te zoeken.
Van dat handje vol technofreaks dat dan over blijft hebben wij in deze maatschappij niets te vrezen.