Oude software kan nog prima dienst doen, voor datalekken. Dit is de discussiestelling die Computable-lezers vandaag krijgen voorgelegd.
Groot voordeel van software is dat het niet slijt. Groot nadeel van software is dat het op een bepaalde manier toch wel aan ‘slijtage’ onderhevig is. Na verloop van tijd kunnen er immers onvolkomenheden, foutjes en kwetsbaarheden in worden ontdekt. Die bugs en gaten vereisen onderhoud: updates, patches en upgrades. Functioneel gezien werkt oude software wellicht nog naar behoren, maar het securityrisico kan ondertussen toenemen.
De geruchtmakende belastingonthullingen in het kader van de Panama Papers tonen dit maar weer eens aan. De van 2,6 terabyte aan data ‘beroofde’ Panamese juridische dienstverlener Mossack Fonseca zou wel eens voor basale beheerfouten kunnen zijn gevallen. Zakenmagazine Forbes heeft ontdekt dat de firma oude en kwetsbare tot zeer kwetsbare websoftware draait. De changelog voor het klantenportal was tot voor kort nog openlijk toegankelijk en gaf het drie jaar oude Drupal 7.23 aan. Verder zouden er ook nog configuratiefouten zijn gemaakt. Oude software is erger dan loslippigheid. Wat vind jij?
‘Top’ als beoordeling omdat dit artikel ondubbelzinnig aan geeft waar het telkens weer om draait, tegelijkertijd aan schort.
IT ICT is als materie en vehikel een prachtig instrument en voorspelbare keten die kennis en ervaring behoeft. Als jet ergens iets vergeet zal dat je later in ‘ de billen bijten’. Dat in te zien is niet zo moeilijk maar dat te accepteren lijkt, gezien al deze intrusions, inbraken, steeds groter wordende, overigens veel eerder en vaker voorspelde grootschalige incidenten.
Het gaat natuurlijk niet alleen om het beheer en onderhoud van oudere software. Het gaat namelijk ook om de professionele perceptie van elke IT ICT professional dat je gewoon oog moet hebben voor basale zaken in die hele IT ICT keten waar je als professional zelf ook deel van uit maakt.
Steeds vaker lees je dat professionals in een bepaalde discipline veel en alles weten over de betreffende discipline maar wanneer het gaat om oog voor dit soort cruciale en minimale noodzakelijke kennis van zaken het af laten weten. Want nee, dat is toch voor de producent of dat is toch voor de afdeling ‘ security’?
Natuurlijk, je kunt niet alles weten, sterker, je hoeft dat ook niet. Maar wanneer je niets geeft of doet aan de meest basale regels en principes van je vak, da moet je je eens op je kruintje krabben. Want als je als, bijvoorbeeld, (nieuwe) beheerder geen oog hebt voor hetgeen je aan het beheren bent met als idee dat dat toch de verantwoordelijkheid van de software owner of de leverancier is, dan heb je wat mij betreft in de IT verrekte weinig te zoeken.
Ongeacht waar de fouten zich bevinden, alles valt of staat met het willen inzien dat je als IT professional gewoon in bezit dient te zijn van een aantal vanzelfsprekendheden. En ook voor deze is er dan namelijk standaard één van wat mij betreft.
@René Civile
Erg eenvoudig om er vanuit te gaan dat het de IT professional is die besloten heeft om geen nieuwere versie van de applicatie te installeren.
Hoe vaak komt het niet voor dat het juist de IT professionals zijn die aandringen op vernieuwing en verbetering en dat het een business manager is die “nee” roept, omdat het functioneel niets brengt.
Ik zeg uitdrukkelijk niet dat het hier ook aan de hand kan zijn, maar ik kom vaak genoeg in organisaties waar technische verbeterslagen volledig ondergeschikt worden gemaakt aan functionele verbeterslagen. Met als gevolg dat niet alleen verouderde programmatuur en frameworks verouderd blijven (en nog ouder worden), maar ook nog een keer dat overbodig complexe structuren moeten worden blijven gebruikt om de functionaliteit te realiseren.
Het gaat, zoals altijd, om een goede holistische kijk op het geheel. Ja, het is noodzakelijk dat functionele wijzigingen worden doorgevoerd, daarmee houdt je de schoorsteen rokend. Maar het is net zo noodzakelijk om onderhoud te plegen, zodat de rokende schoorsteen goed blijft worden gefundeerd (en niet instort).
Nee, in legacy investeren we niet meer. Want straks gaan we naar de cloud of sourcen we out en dan is het allemaal prima geregeld!
Drupal en financiele bedrijfssoftware, daar zou ik graag de originele tekst zien.
Dat zijn mijns inziens twee heel verschillende zaken.
@ Cpt
Het is klaarblijkelijk NIET eenvoudig uit te gaan van de IT professional want heremetijd, je zal er toch eens van uit kunnen gaan dat die haar/zijn neus verder steekt dan louter eigen blackbox. Overigens, ik spreek louter uit eigen visie en ervaring, hoef geen voorbeelden te bedenken.
Waar het om gaat is dat diegene die de regie voert over software, dat kan zijn IT beheer of support, mij even om het even, iemand is tenslotte software owner, en de wanneer de meest basale IT processen goed zijn ingeregeld, dan is er oog voor hiaten en zal er iets bestaan dat ‘monitoring’ oid heet.
In uw voorbeeld dat er een manager is die de ‘showstopper’ blijkt, dan kun je de verantwoordelijkheid van beheer en onderhoud escaleren naar de betreffende manager die dan plots ‘owner’ word. Ik kan je vertellen, wederom uit ervaring, dat dit een ‘last resort’ is maar menig manager wel over die grens heen duwt. Immers, als software niet betrouwbaar of veilig is, dan wil je er in de regel alles aan doen om dit zo te houden.
Waar ik feitelijk op doel is dat IT procesmatig goed sluitend te krijgen is waardoor iedereen og en oor heeft voor kwaliteit en onderhoud en iets als oog moeten hebben voor het groter geheel. Het is juist individualisering die problemen in de hand werkt. Een gezamenlijk doel dus zogezegd.
Valt het jou overigens ook niet erg op dat de incidenten en de impact steeds groter aan het worden zijn sinds we met zijn allen zzp-er zijn geworden?
Just a thought.
Je kan je ook afvragen waarom een financiële instelling 30 jaar oude gegevens direct benaderbaar via het internet had. En inderdaad dat ze het systeem niet goed bijhielden en fout ingericht hadden is vrij onhandig. Daar kan je overigens moeilijk de software de schuld geven omdat de beheerders en eindverantwoordelijken de volledige schuld dragen.
Maar Mossack Fonseca is absoluut geen uitzondering. Veruit de meeste financiële instituties opereren via de zelfde uitgangspunten en zullen vergelijkbare nalatige gaten in hun beveiliging hebben.
René Civile,
Je gebruikelijke verhaaltje geeft wel aan waar het probleem zit aangezien er een wezenlijk verschil zit tussen beveiligingslekken en datalekken, uiteindelijk gaat het namelijk om een lek in informatie want de ‘Panama papers’ laat de keerzijde van moderne datasynthese zien als we kijken naar de internationale samenwerking middels Internet. Dit drukt bestuurders op het feit dat er naast de trias politica van het oude beheermodel van Looijen ondertussen een vierde macht – de klokkenluider – bij is gekomen.
En dat een horizontale communicatielaag middels internet over de verticale silo’s van een organisatorische verzuiling voor informatielekken zorgt gaat niet om de software maar het Information lifecycle management. AIVD waarschuwde in rapport over bedrijfsspionage voor de risico’s als bestuurders geen oog en oor meer hebben voor kernbelangen. En dan hebben het hier dus over een vraagstuk van integriteit binnen de problematiek van: ’trying to satisfy stringent compliance on limited budgets’
IT procesmatig goed sluitend krijgen betekent – zie Mintzberg – vooral een organisatorische verandering, het failliet van Looijen blijkt uit een paradigma zoals DevOps. BiSL, ASL en ITIL hebben gezamenlijk al meer dan 80 procesbeschrijvingen maar geen één richt zich op een Check & Balance van data kwaliteit. Deze ‘disconnected’ governance oplossen met belofte van Big Data is niet de digitale transformatie die bedoeld wordt omdat het All People Seems To Need Data Processing nu eenmaal een groot aantal menselijke informatielekken heeft.
@ Wie roept mij
Klaarblijkelijk zal ik wat linkjes missen, word me wel eens vaker verweten, niet iets wat mij wakker doet liggen.
Een lek is een lek en of dit nu een hiaat in een proces, de beschrijving en/of uitvoering zou betreffen of een technisch lek. In essentie van kleur anders maar qua impact en schade gewoon hetzelfde, tenminste, wat mij betreft.
Dat betekend ook dat men, zowel IT professional als management en board member, hier op bedacht moeten zijn omdat het in essentie om hetzelfde gaat. Het ‘zoveel mogelijk’ borgen dat lekken worden gedicht en natuurlijk dicht blijven.
Ik vind het best dat je allerlei verwijzingen doet, maar die doen wat mij betreft aan het gegeven van het lek weer niets ter zake. Een lek is nu eenmaal een lek of die nu al of niet voort komt uit een hiaat in een methodiek of een hiaat in een organisatie of een bepaalde gepropageerde wijze van werken.
Feit is en blijft dat een ieder zich er bewust van dient te zijn welke consequenties een lek met zich mee brengt in en met IT/ICT en niets meer dan dat. Dat je dit daarna, binnen methodiek en organisatie, op welke manier dan ook, inbed is dan weer de volgende stap.
Overigens, ik ben zowel in procesmatige als organisatorische in onderwerp en problematiek aardig thuis, vandaar.
Blijft mijn stelling onverlet: Je hebt als IT professional standaard het aspect security op je netvlies omdat dat gewoon deel uit maakt van het karakter van je professie. Heb je dat niet dan vind ik dat een ernstig lek.
“Oude software is erger dan loslippigheid. Wat vind jij?”
Of ouwe ict-ers, die zijn ook erg, vooral als ze stronteigenwijs en loslippig zijn. Hersens zijn wel aan slijtage onderhevig, dat kun je oplossen door ze weinig te gebruiken, Zo goed als nieuw. In de wiskunde heb je lineaire algebra, een deelgebied. Wiskundigen beseffen maar al te goed dat lineariteit alleen maar op gaat voor hun lineaire model, dat er meerdere modellen zijn en dat het afbeelden van model naar werkelijke toepassingen nogal discutabel is.
Overigens, ik spreek louter uit eigen visie en ervaring, hoef geen voorbeelden te bedenken.