Cybercrime is de grootste bedreiging voor bedrijven over de hele wereld. Dit is de discussiestelling die Computable-lezers vandaag krijgen voorgelegd.
Hackaanvallen door kwaadwillende partijen vormen een bedreiging voor alle bedrijven in elke soort industrie. Ditmaal is het niet puur een oplossingen-pushende securityleverancier die deze doemstijding brengt, maar topvrouw Ginni Rometty van IBM. De ceo van de al heel lang meedraaiende ict-leverancier stelt dat data de nieuwe natuurlijk hulpbron is. ‘Het is de nieuwe basis voor concurrentievoordeel en het transformeert elk beroep en elke industrie.’
Zij waarschuwt ciso’s (chief information security officers), cio’s (chief information officers) en ceo’s (chief executive officers) dat hieruit onvermijdelijk volgt dat cybercrime de grootste bedreiging is voor elk beroep, elke industrie en elk bedrijf in de hele wereld. Heeft Rometty daar een goed punt, of zijn er andere, grotere bedreigingen te vinden? Wat vind jij?
De vraag is eenvoudig te beantwoorden. Hoe gaan bedrijven kapot? In mijn ogen zijn maar heel weinig bedrijven kapot gegaan aan cybercrime ten opzichte van andere oorzaken zoals conjunctuur, mismanagement, et cetera.
Vervolg vraag is dan: Zal cybercrime wel de toekomst worden van het kapot gaan van bedrijven? Dus zal het getal significant stijgen? Ik weet het niet en iedere voorspelling is een wilde gok. Wat word er anders dan dat het nu is waarom het gevaar groter word? We wapenen ons ook steeds beter tegen cybercrime bijvoorbeeld door diensten af te nemen bij grote providers die gespecialiseerd zijn hierin. Zij zullen ook al helpen om gaten en slechte gewoontes waar te nemen en het hebben van goede gewoontes makkelijk te maken.
Als er een inherent iets komt waardoor cybercrime inderdaad sterker is dan de bescherming, dan hebben we een veel groter probleem.
Natuurlijk is het een goed advies om risico’s in te schatten en daarnaar te handelen, maar er is niets meer dan dat nodig naar mijn inzicht.
Kapot gaan door cybercrime is wellicht een brug te ver, maar daar waar intellectueel eigendom en vertrouwelijke informatie vroeger in een kluis in een gebouw opgeslagen lag (waardoor je als criminieel of concurent diverse fysieke barrieres moest slechten alvorens je erbij kon) is een groot deel van deze informatie vandaag de dag “ergens” digitaal opgeslagen.
De kwetsbaarheid is hiermee toegenomen (het is makkelijker om met 1000 man proberen tegelijk een digitaal archief te kraken, dan met 1000 man tegelijk een fysieke kluis te openen).
Of het daarmee de grootste bedreiging voor een bedrijf is weet ik niet. Volgens mij zijn corrupte medewerkers een grotere uitdagig voor menig bedrijf.
Helaas hebben we een te groot vertrouwen in technologie in het algemeen en in ICT in het bijzonder. Techniek is mensenwerk en mensen kùnnen fouten maken. Die fouten werden en worden ook in de ICT industrie gemaakt. Gemiddeld(?) gaan we uit van 15-50 (32,5 met een spreiding van 17,5; ik ben benieuwd naar een betere pareto analyse http://www.isixsigma.com/methodology/metrics/six-sigma-software-metrics-part-1/) fouten per KLOC (1.000 lines of code) . De NASA doet het beter maar heeft dan ook een hogere kostprijs per LOC (http://labs.sogeti.com/how-many-defects-are-too-many/) Dat mag ook wel want “time to market” is anders “time to a man on the moon”.
Juist die aandacht voor het één (markt) of het ander (leven) maakt het verschil. Streven naar een zo kort mogelijke “time to market” gekoppeld aan een “least cost” doelstelling maakt onze technologie zeer kwetsbaar. In verhouding tot het belang voor leven van een rechtspersoon is dat minder belangrijk dan voor het leven een natuurlijk persoon. Echter: wij als natuurlijke personen zijn voor de kwaliteit van ons leven steeds meer afhankelijk van die rechtspersonen. En zo is de cirkel rond…
We zijn in staat intrinsiek veilige software te maken. Laten we dat dan ook doen. Niet in het belang van de “time to market” maar in het belang van onszelf* en onze kwaliteit van leven.
*”Onszelf” zijn de collectieven en individuen die direct of indirect software gebruiken; in middels vrijwel de gehele mensheid.
Dick, het klinkt heel wat als je statistische gegevens deelt en deze dan verzwaart door ook NASA te noemen. Ik heb echter zeer veel twijfels bij dit soort algemene waarheden, net zoals dat we een te groot vertrouwen hebben zouden in technologie. Dat is zo algemeen dat het rammelt aan alle kanten en daarmee weinig waarde heeft.
Daarnaast mag software best falen, waarom zo zwaarmoedig? Als we intrinsiek veilige software willen maken zouden producten als Linux / WIndows / Google / Facebook / et cetera.
Software is onderhevig aan evolutie en dat is goed. Alle complexe systemen beginnen simpel en evolueren tot wat ze zijn. Intrinsiek veilige software schrijven vanaf scratch lijkt mij een typisch geval van vroegtijdige optimalisatie en daarmee gedoemd tot falen.
Evolutie in een notendop: Waarom zijn mensen gericht op sex? Als we dat niet waren zouden we allang zijn uitgestorven.
Zo moeten we virussen (die echte ja) ook dankbaar zijn. Als er geen virussen waren zouden we er ook geen bescherming voor hebben ontwikkeld, een eerste virus wat dan toch zou ontstaan zou het einde betekenen van ons bestaan.
Als we een intrinsiek veilig internet zouden ontwerpen voor dat we dit zouden bouwen, dan was er nooit een internet geweest.
Ik ben het daarmee falikant oneens met je reactie.
@henri knoppen
Evolutionaire ontwikkelingen zijn prima wanneer ze betrekking hebben op organische ontwikkelingen. ICT is een technologie die door mensen is gemaakt. De NASA maakt software met aanzienlijk minder fouten dan het gemiddelde bedrijf (<0,2 tegen 15-50 fouten/KLOC).
Mijn stelling is dat we dus veel (75-250x) betere software zouden kunnen maken wanneer we daar ons best voor zouden doen. Een statische waarheid waar geen speld tussen te krijgen is.
Alle - niet natuurlijke - complexe systemen beginnen simpel. We laten ze "groeien" tot wat ze zijn; dat gaat niet vanzelf maar is het gevolg van keuzes die we maken. In het verleden is er wel degelijk intrinsiek veilige software geschreven, zoals nu nog steeds oa door de NASA gebeurt. Dat gaat overigens eenvoudiger in een formele taal dan in een interpretatieve. De reden hiervoor was eenvoudig: gebruikers lieten hun eigen software ontwikkelen. Dat werd echter te duur, vond "men". Maar wat is "duur"?
De totale hoeveelheid geld die wordt uitgegeven aan (schijn)veiligheid is groter dan die voor echt functionele automatisering. Het zou een interessante ontwikkeling zijn om inderdaad van scratch aan intrinsiek veilige software te ontwerpen en vervolgens de "code te krassen". Bovendien een ontwikkeling die heel wat minder geld zou kosten dan de subsidies die besteed zijn aan ICT in Europese programma's zoals Horizon 2020 en voorganger FP7.
Ook een (kostbare, 150 miljard €) evolutie in een heel wat kleinere notendop dan de menselijke (meer dan sex) evolutie...
Bij intrinsiek veilige software worden virussen meteen "aan de poort" onschadelijk gemaakt. Dat lijkt me de minst complexe, meest kost-effectieve dus beste bescherming.
Een intrinsiek veilig informatie-, communicatie- en transactienetwerk (opvolger van internet) voor een "zachte" prijs van < 1 G€, lijkt me maakbaar. Een eenvoudig transformatietool van de sites op het huidige internet meegerekend. De belangrijkste winst hiervan is echter dat het niet "hun internet" is, maar ons gemeenschappelijk informatie-, communicatie- en transactienetwerk is. Alleen is dat gebaseerd op een verdien(winst)model vanuit de samenleving. Wellicht is het daarvoor nog te vroeg mbt het heersende (beperkte) markdenken...
Dag Dick,
Mooie reactie en onderbouwing, maar ik heb echt een hele andere kijk op dingen en zal een paar korte voorbeelden geven.
“De NASA maakt software met aanzienlijk minder fouten dan het gemiddelde bedrijf (<0,2 tegen 15-50 fouten/KLOC)." Dit is een versimpeling van de waarheid. Dit geld namelijk alleen voor de bedrijf kritische systemen van NASA en niet voor alle software die NASA aanraakt. Daarnaast "bedonderd" NASA de boel door praktisch alle foto's die naar buiten gaan te photoshoppen ( https://www.quora.com/Does-NASA-use-Photoshop)
En software zonder fouten is niet per se beter dan software met fouten. Je kunt foutloos het foute bouwen, zeg maar. Of plat gezegd Betamax moest het afleggen tegen VHS ondanks dat het technisch beter was (en de reden had weer met sex te maken, hahaha)
“Bij intrinsiek veilige software worden virussen meteen “aan de poort” onschadelijk gemaakt.”
Dit is in mijn ogen ook een versimpeling van zaken. Inherent veilige software is meer dan de bovenste lagen van het OSI model en rust ook op bijvoorbeeld op een OS. intrinsiek veilige software is dus in mijn ogen een illusie, waarmee “Een statische waarheid waar geen speld tussen te krijgen is.” dus weer mooier klinkt dan het is. Sorry.
En wat is veilig? En voor wie?
En als je veilige software hebt en een overheid omzeilt dit? Het Apple verhaal wat nu speelt, zeg maar.
Nee, een intrinsiek veilig alternatief internet is maar heel betrekkelijk. Het blijft gewoon een spel van verandering, kat en muis, yin yang, you name it….
Goede vraagstelling, hoewel de vraagstelling eerder zou kunnen zijn, wanneer bedrijven stil gaan staan bij de gevolgen van kwantiteit in plaats van kwaliteit. Fouten kunnen gemaakt worden, dit is ook absoluut niet erg, hoewel onder stress, die de ontwikkelaars/beheerders voor de kiezen krijgen om een deadline te halen zeer groot is, sluipen de meeste fouten hiermee er onvermijdelijk in. Dit noemen we ook wel “Layer 0 fout” van het OSI model.
Een applicatie maken zie ik als digitaal potten bakken. Wil je het te snel af hebben, dan wordt de pot die je voor ogen hebt een asbak. Wil je het te snel bakken, gaat de pot barsten.
In deze economie wil men maatwerk hebben, maar! wel binnen aan afzienbare tijd. Dit is bijna niet haalbaar wil je hiermee verschillende security aspecten getest te hebben (hier gaat verhoudingsgewijs een hoop tijd in zitten).
Buiten dit om dient een programmeur bekend te zijn met “Secure Software Development”. Wat vanuit een bedrijf als cursus aangeboden dient te worden alvorens de programmeur volledig in dienst treed.
Helaas neemt veiligheid vaak een hoop af aan de usability wat resulteert in een hogere instap niveau/moeite voor de dagelijkse gebruikers. Men wil gemakkelijke oplossingen voor moeilijke omgevingen, wat resulteert in het nalaten van “key-“aspecten als security.
In mijn tijd als security professional ben ik veel (simpele) “fouten” tegengekomen zowel in configuratie als programmatuur van zeer grote software fabrikanten, wat niet per definitie “dom” is. Er is of te snel gewerkt, of er is niet voldoende kennis van de gevolgen.
Kortom, bedreigingen blijven bestaan, dit we kunnen verminderen door middel van juiste opleidingen, skilled medewerkers en active monitoring.
Of cybercrime het grootste gevaar is voor bedrijven, denk ik niet. Misschien in de toekomst maar nu nog zeker niet. Maar of het het “grootste” is, is is ook niet relevant. Dat is meer een woordspelletje. Ook als het niet het grootste gevaar is, blijft het een riscico dat geadresseerd moet worden. En als de afhankelijkheid van data toeneemt wordt dit alleen maar belangrijker.
@Henri: Ik kan jouw 2de post voor geen meter volgen. Je kan ook het goede bouwen vol fouten. De domme massa wil seks en niet iets dat technisch heel goed is. Wat probeer je nu te ontkrachten? Ik zie alleen rook of ruis, hoe je het noemen wil..
Technicus, fair enough. Overigens 1 van de zinnen was niet afgemaakt, dat als we echt intrinsiek veilige software zouden willen bouwen dan waren Linux, Windows, etc er niet geweest.
Dick schrijft dat intrinsiek veilige software maken kan, en dat software van NASA veel minder fouten bevat en dat we te veel vertrouwen op techniek en onderbouwd dat met ogenschijnlijk sterke statistiek.
– Door een paar instances van code te onderzoeken kun je geen algemene steekhoudende uitspraken doen over *alle* software
– Je kunt niet beginnen met intrinsiek veilige software. De software moet namelijk eerst door gebruikers gevalideerd worden voordat het de kans krijgt groter te worden.
– Dat je code foutloos is, betekent niet dat de software goed is. Dus verkeerde validatie over wat goed is.
Dit probeerde ik in ieder geval over te brengen, wat denk jij?