We zijn bang voor technologie. En terecht. Want als het mis gaat kan het tot grote problemen leiden, of zelfs mensenlevens kosten. Maar we zijn niet altijd goed in doorgronden hoe riskant technologie is. Na 9/11 waren er veel mensen die het vliegtuig vermeden en in plaats daarvan gingen autorijden, terwijl dat veel gevaarlijker is dan vliegen.
Ook verzinnen we maatregelen die veel kosten en weinig opleveren. Kijk maar naar de tegenwoordige veiligheidscontroles op vliegvelden.
De informatietechnologie is ook een van de gebieden waar het controle denken flink om zich heen aan het grijpen is. De audits en certificeringen vliegen je van alle kanten om de oren. Informatiebeveiliging is daarom een van de weinige groeiende sectoren binnen de it.
Zelf heb ik een uitermate ambivalente houding tegenover het vak informatiebeveiliging. Ik weet er wel wat van, merk ik, en bovendien heb ik een hekel aan broddelwerk, vooral als dat leidt tot onveilige systemen. Tegelijk ben ik ronduit allergisch voor de verkoopmethoden die in informatiebeveiliging gebruikelijk zijn. FUD noemen we dat al lang: fear, uncertainty en doubt, en het wordt te vaak gebruikt om nutteloze onzin te verkopen.
Wat is er tegen technologie-angst te doen? Voor mij begint dat bij kennis en ervaring die ons in staat stelt de risico’s te zien, op werkelijke waarde te schatten, en te weten wat ons te doen staat. De nieuwste toren in Den Haag, waarin ironisch genoeg de veiligheidsministeries zijn gevestigd, zwaait bij stevige wind misselijkmakend merkbaar uit. Toch weet een bouwkundige dat dat veiliger is dan een toren die niet meebeweegt.
Technologie is eng, en nieuwe technologie is enger. Dat verklaart wellicht ook de angst voor cloud computing. Beroepshalve verdiep ik me in cloud security. Ik zie dat mensen cloud computing erg eng vinden, totdat ze zien hoe het in elkaar zit, en welke mogelijkheden ze hebben voor risicobeheersing. Dan gaan ze er in eens heel anders naar kijken en wordt het mogelijk om de restrisico’s af te wegen tegen de voordelen.
En sommige risico’s blijven we hardnekkig over het hoofd zien. Daarom blijf ik van mening dat IPv6 dient te worden ingevoerd.
Peter van Eijk is onafhankelijk adviseur op het gebied van digitale infrastructuren (www.peterhjvaneijk.nl).
Helemaal mee eens Peter. De IPv6 adoptie gaat nog veel te langzaam.
Wat is hier bedoeld met “cloud computing”?
Webapplicaties die op een virtuele server draaien of toch iets meer, en wanneer iets meer, dan krijg je of je wilt of niet te maken met de vraag waar je data staan, wie de eigenaar is en of je jouw data naar een andere leverancier kunt brengen als dat nodig zou zijn.
Daarbij komt dat iedere vorm van werken via internet inherent vraagtom security-beleid dat meer omvat als on-premise werken.
Ontkennen heeft geen zin.
Overigens IPv6 moet eindelijk verder ingevoerd worden, mee eens.
Angst is gewoon big business en vooral een middel om mensen te sturen.
Zo zijn de controles op de vliegvelden helemaal niet bedoeld om terroristen op te sporen maar om de mensen te laten wennen dat ze ten allen tijde door mensen in uniformen gecontroleerd worden tot zelfs de intieme plekken. Evenals de controlepunten bij wegen of de speciale zones waarbij de politie je zonder aanleiding mag onderzoeken. Oftewel een politiestaat waarbij de uitzonderingen dankzij hun privileges een aangenamer en vooral rijker leven mogen leiden.
De terroristen zoals ze breed worden uitgemeten in de media zijn niets anders dan de zwarte pieten voor de grote mensen. Bedoeld om de mensen bang te maken terwijl de geldschieters die deze farce in stand houden het geld in veelvoud terug verdienen door allerlei draconische beveiligingsmaatregelen.
En in die trend past het cloud gebeuren ook heel goed. Er worden allerlei rampscenarios voorgeschilderd dat je bedrijf in zwaar economisch weer terrecht komt als je niet meedoet met de cloud-hype.
Wel zo gemakkelijk voor economische spionage en sabotage mocht het bedrijf niet volgens de ‘regels’ willen spelen.
In die context zou ik het niet zozeer als angst voor techniek willen bestempelen. Eerder voor de misbruik van techniek. En wat dat betreft gaat het vaak al zoveel verder dan de meesten beseffen. Dat wordt namelijk zorgvuldig stil gehouden en in dat opzicht lijkt Snowden dan ook een roepende in de woestijn. Maar als je wat beter oplet dan besef je ook dat het maar een topje van een hele grote ijsberg is.
Wat mij verbaasd: Ik hoor niets van IPv6, dus het leeft niet, maar buiten dat.. de IP4 adressen waren toch allang op? Waarom hoor ik nog geen problemen?
Wel zie ik langzamerhand dat steeds meer devices in ieder geval IPv6 instellingen hebben… als ik echter met DNS bezig ben doe ik alleen nog maar IP4.
Wat betreft enge technologie… ben ik niet de doelgroep 🙂
Onze (in naam dan) premier had ooit eens de metafoor van Arts & Auto welke me hier ook van toepassing lijkt. Tenslotte heb ik met adoptie van CoIT en BYOD niet het idee dat er angst is voor technologie, dat deze niet begrepen wordt door meeste gebruikers is een andere discussie. En als ik me niet vergis weten meesten niet eens het verschil tussen IPv4 en IPv6 als ze al weten wat een protocol is. Oja, de terughoudendheid om de cloud in te gaan heeft niet zoveel met FUD te maken maar de onvolwassenheid hiervan en de zorgen rond informatiebeveiliging als gevolg van de het digitaal imperialisme van Amerikaanse overheidsdiensten. Dat IPv6 mogelijkheden heeft om beveiliging te verbeteren zit trouwens niet zo zeer in het protocol maar het ontwerp, iets wat ook geldt voor de code die je in de cloud uitrolt. Dus….
Met plezier las ik dit artikel. Niet zo zeer dat iemand bang zou moeten zijn maar meer dat er soms nogal wat misverstanden blijken te ontstaan. Sommige terecht, sommige niet zo terecht.
Er zijn volgens mij wel wat hobbels te nemen en te verhelderen naar potentiële klanten. Zoals ik vaker zeg is het een beetje combinatie van ‘onbekend’, ‘hijgerig hypen’ en roepen dat de wereld niet zonder kan en dus. Ik denk dat er veel meer gewonnen zou worden als men het rustig zou presenteren als een mooie mogelijkheid om…..
Misschien is het ook deels wat Ewout hier stelt. Maar mijn beleving en ervaring is dat menig IT professional nog steeds niet goed in staat blijkt de vertaalslag te maken naar Non IT. Ook dat speelt dan in dit onderwerp een aanzienlijke rol.
@Ewout
kun je dit nader verklaren “zit niet zo zeer in het protocol maar het ontwerp”?
IP betekent toch Internet Protocol?
De betere mogelijkheden tot beveiliging zitten dus in het ontwerp van het protocol met de naam IPv6.
@Jan
IP betekent DDoS;-)
Als informatiebeveiliger vraag ik me ook wel eens af of we met zijn allen niet te ver aan het doorschieten zijn met certificeringen en audits. Alle vakjes op groen stelt het management tevreden want we zijn compliant, maar zijn we dan ook secure ? Uifeindelijk draait het toch om het analyseren en beheersen van risico’s. Echter daar moet je voor nadenken en risico’s helder kunnen maken voor de beslissers. Dan is compliancy toch makkelijker en daardoor iedereen tevreden: leveranciers, consultants, auditors en klanten. Zo zal het audits en certificeringscircus nog een tijd doorgaan totdat het niet meer werkbaar wordt, de kosten niet meer in verhouding staan tot de risico’s en iedereen er uiteindelijk genoeg van krijgt.
@NumoQuest
Ik denk niet dat een adviseur digitale infrastructuren gaat roepen dat een pen ook goed schrijft. Nee, die roept dat elke bedenking tegen sommige ontwikkelingen in de cloud een fobie is en Internet een zegen. Informatiebeveiliging is ook nergens voor nodig want we hebben toch niets te verbergen?
Deze adviseur roept dus wel dat IPv6 versneld ingevoerd moet worden maar verzuimd de reden hiervoor op te geven. Nu kan ik dat wel raden maar terugkomend op de pen, ik kan er maar met 1 tegelijk schrijven.