Een op de vijf werknemers in de ict-sector vreest voor zijn baan, blijkt uit recente onderzoeken. Dat komt doordat werkzaamheden en functies in snel tempo wisselen. Veel it’ers maken zich zorgen of ze wel voldoende capaciteiten en skills hebben om te voldoen aan de nieuwe omstandigheden.
Om me heen zie ik die veranderingen ook, maar ik denk dat de liefde van de it-specialist voor het vak, het wint van de zorgen. Zeker een specialist die kiest voor cybersecurity en -crime maakt volgens mij een goede beroepskeuze. Aan het beveiligen of hacken van het internet of things (IoT) zit volgens onderzoeksbureau Gartner een onvoorstelbare hoeveelheid werk en er gaat veel geld in om. Ook die vraag zie ik niet afnemen.
Niet dat ik nu pleit voor een loopbaan als crimineel, maar dé scheidslijn tussen beveiliger en hacker is flinterdun, weten we sinds de trilogie van Stieg Larsson. Zijn heldin Lisbeth Salander laveert voortdurend tussen goed en kwaad. Ze werkt voor eigen belang, maar ook bij een beveiligingsfirma, helpt om maatschappelijke misstanden aan de kaak te stellen, maar profiteert net zo gemakkelijk van die informatie om haar eigen bankrekening te spekken.
Voortdurende ratrace
In de echte wereld gaat het ook zo. Beveiligers en cybercriminelen houden elkaar bezig in een voortdurende ratrace. Daar doen ze ook niet moeilijk over. Als hacker kun je gewoon op de payroll van een bedrijf staan en het is gissen wat die keurige security consultant in zijn vrije tijd uitvoert. Ze ontmoeten elkaar ook gewoon in het openbaar. Salander had nog het uiterlijk en het gedrag van een echte nerd, maar ook daar kun je niet meer van op aan.
Ondertussen gaat er in de cybersecurity en -crime veel geld om. Jaarlijks leidt de Nederlandse economie voor 1,6 miljard euro schade in de vorm van verlies aan productiviteit en omzetderving door fouten in de digitale beveiliging. Zwakke plekken zijn applicaties en software. Reputatieschade en kosten voor beveiliging zijn in die berekening nog niet eens meegenomen. Het gaat om een veelvoud.
De ratrace werkt eenvoudig. Hackers zijn erop uit applicaties iets te laten doen wat het systeem niet wil. Daardoor kan bijvoorbeeld de software crashen. Op die manier kunnen ze het eenvoudigst inbreken. De ‘andere kant’ wil dit uiteraard voorkomen en tuigt de beveiliging op met firewalls, wachtwoorden, antivirusprogramma’s en wat al niet meer.
‘Neus’ ontwikkelen
Hoe kun je deze wetenschap nu als professional verzilveren? Je zou een ‘neus’ kunnen ontwikkelen voor onveilige software. Ik zeg bewust neus, want je kunt het verschil tussen veilig en onveilig niet zien. Het is best mogelijk dat je op dit moment al onveilige software gebruikt. Totdat het misgaat, is er niks aan de hand.
Hackers weten een aantal zaken zeker, zo is mij gebleken uit gesprekken. Software is vaak in té grote haast gemaakt, de ontwikkelkosten worden soms bewust laag gehouden en lang niet alle programmeurs zijn goed opgeleid of gescreend. Bovendien is er niet altijd toezicht op de omgeving van gebruikers. Zie hier je kans om als it-specialist overeind te blijven in een veranderende markt. Zorg dat je gewild bent, om wat je kunt.
In een dynamische markt waar vraag en geld is, hoef je niet snel buiten de boot te vallen. Larsson’s geesteskind Lisbeth Salander werd uiteindelijk financieel onafhankelijk.
Ruud,
Prima artikel, ik sta er volledig achter. Sterker: Samen met het Min. van EZ hebben we getracht iets te doen aan onveilig software.
Dit heeft geresulteerd in het “Framework Secure Software” dat is ondergebracht bij de onafhankelijke “Secure Software Foundation”. (www.securesoftwarefoundation.org).
Fred Hendriks
Directeur: Secure Software Foundation
Ruud,
Prima artikel. Applicatie security is nog steeds een “ondergeschoven kindje”. Onder druk van de business moeten applicaties snel in gebruik genomen worden. Testen gebeurt dan meestal op functionaliteit en performance. Security-testen wordt niet of nauwelijks gedaan. Excuus van de software-developer: Het moest snel klaar en stond niet in de specificaties. Bij de opleidingen voor web-developer wordt niet- of nauwelijks aandacht besteed aan secure software technieken. Wij spreken regelmatig met developers die nog nooit van OWASP hebben gehoord. Met de nieuwe privacywetgeving worden er strenge eisen gesteld aan security en privacy. Datalekken gaan straks resulteren in exorbitant hoge boetes die door de toezichthouder opgelegd kunnen worden. Software developers kunnen zich daarom dus nu maar beter gaan verdiepen in de technieken voor het maken van veilige software en het security testen. Veel bedrijven realiseren zich nog steeds niet dat ze zich op de nieuwe wetgeving moeten voorbereiden. Een nulmeting op de gegevensverwerkingen in de organisatie, gevolgd door een onderzoek naar de gevaren waaraan de “kroonjuwelen” blootstaan. Zo’n onderzoek betekent ook een check naar de kwetsbaarheden in je software. Broodnodig, want de situatie met betrekking tot de applicatiesecurity is slecht … Héél slecht. Het is kinderspel om via websites in te breken. Wij vinden tijdens onze applicatie security projecten nog steeds veel kwetsbaarheden in applicaties die worden veroorzaakt door “basic” zaken als SQL injection en Cross Site scripting. Op verzoek stuur ik graag meer info.
Rob Koch
Directeur Sebyde BV