De digitale monocultuur, waarbij groot aantal bedrijven en instellingen afhankelijk zijn van een klein aantal hard- en softwareleveranciers, vormt een extra bedreiging voor de cyberveiligheid. Sommige aanbieders hebben zo’n dominante positie dat als het ergens misgaat de gevolgen verstrekkend zijn. Dat stelt de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) vast.
Het ‘Cybersecuritybeeld Nederland 2024‘ wijst op het gevaar van een te grote machtsconcentratie in de security-sector. De NCTV, die deze jaarlijkse rapportage opstelde, is vooral geschrokken van de wereldwijde storing als gevolg van de blunders die het securitybedrijf CrowdStrike afgelopen zomer maakte bij een update.
Digitale processen zijn in hoge mate met elkaar verweven en vormen zo een breder digitaal ecosysteem. Een incident bij een leverancier zoals CrowdStrike kan doorwerken naar vele andere organisaties. Ook de softwarefout op een netwerk van Defensie demonstreerde dit. Verder stelt de NCTV dat niet-vitale organisaties voor kwaadwillenden een aantrekkelijke springplank kunnen zijn naar vitale organisaties.
Ook grootschalige concentratie bij de grote cloud-aanbieders AWS, Microsoft en Google vormt een risico voor digitale veiligheid. Verder kan schaarse cybercapaciteit de digitale weerbaarheid in het geding brengen. Betekent daarnaast de ontwikkeling van een krachtige quantumcomputer nu al een risico, ook de mondiale online-datahandel geeft op grote schaal inzage in persoonsgevoelige data en bedreigt daarmee de nationale veiligheid.
Turbulente tijden
Genoemd rapport is een jaarlijks terugkerende analyse die sinds 2012 wordt gepubliceerd. De subtitel is dit jaar ‘Turbulente tijden, onvoorziene effecten’. Complexe en sterk verweren netwerk- en informatiesystemen kunnen leiden tot brede en onvoorspelbare uitval. De kans op verstoring neemt daarnaast nog steeds toe, niet alleen door technische problemen maar ook door de huidige geopolitieke spanningen. Zo voeren statelijke actoren cyberaanvallen uit om politieke, economische en militaire doelen te bereiken. Ook ziet de NCTV wereldwijd opererende en steeds geavanceerdere criminelen die grof geld verdienen aan cybercriminaliteit. Het kabinet focust de komende periode in het bijzonder op het bestrijden van de digitale criminaliteit en de weerbaarheid tegen militaire en hybride dreigingen.
Cybersec Netherlands 2024
Op de vakbeurs Cybersec Netherlands is vanzelfsprekend volop aandacht voor cyberveiligheid. De beurs grijpt plaats op 6 en 7 november in Jaarbeurs Utrecht. Meld je hier voor het programmaoverzicht en een gratis toegangskaart. Een impressie? Bekijk hier de video-opnames van de editie van vorig jaar.
Crowdstrike was een wekker die om het vertrouwen in de keten ging, niet getest maar toch uitgerold trapt NCTV dan ook een open deur open. Een deur die overheid grotendeels zelf open heeft gezet met een beleid van uitbestedingen omdat er nog een groot geloof in de economy of scale is. Als het alles mag zijn als het maar Windows is dan verlies je digitale soevereiniteit door afhankelijkheid in het patch beleid. Geen geld, geen Zwitsers lijkt me ondertussen van toepassing als we kijken naar de huurlingen van inhuur en uitbesteding met een slechte controle op de motivatie van de inzet. Want terug naar het vertrouwen komt de constatering over met name Amerikaanse invloed wat laat als we kijken naar een klokkenluider zoals Edward Snowden.
Wat betreft de statelijke actoren komt ook Brenno de Winter een verhaaltje voor het slapen gaan vertellen, de praatjesmaker had 22 januari 2013 een slap praatje over ‘‘Das Leben der Anderen’ omdat de overheid cyberweerbaarheid exclusief maakte vanuit een belang. De klokkenluider vertelde ons toen over de open deuren die open bleven staan omdat er geen dwang & drang was om een pandemie aan kwetsbaarheden op te lossen. Titel van praatje was: “Fundamentele bezwaren bij de cybersecuritystrategie” met als ondertitel de noodzaak van bronbescherming bij openbaring waarmee Brenno voor de spreekbuis was van de white hat hackers die kwetsbaarheden hadden gevonden waar niks aan gedaan werd. Feiten die hier terug te lezen zijn want een archief kan ook tegen je gaan werken.
Wat betreft de rol van NCTV in desinformatie campagne als statelijke actor is controle beter dan vertrouwen want er ontstond een vertrouwenscrisis toen bleek dat coordinator buiten de bevoegdheden had geopereerd in het verzamelen van informatie over het leven van anderen. Er is grote scepsis over de privacybescherming van een organisatie die nog weleens tot oordelen komt zonder de onafhankelijke juridische toetsing waardoor de waarschuwingen meer om de marketing van angst gaan. Grof geld verdienen aan vertrouwen is nu eenmaal de basis van een ruilmodel, de mondiale online-datahandel gaat tenslotte meer om de privacy dan een digitale monocultuur.
Wat betreft een gebrek aan culturele diversiteit zullen we de deur maar niet open zetten voor een filosofische discussie over de ongekozen leiders die op het schild gehesen worden. Of moet ik vanuit een vooruitziende blik over ‘geschoven’ spreken? Tenslotte zijn machtsconcentratie niet per definitie fout als de controle erop maar goed geregeld is want in reden en resonantie volgens de retoriek van Cicero liggen er veel lessen besloten in de geschiedenis. Want hominem te memento lijkt de nationale veiligheid me niet afhankelijk van inzage in persoonsgevoelige data als de personen om wie het gaat niet af te persen zijn met blunders uit hun verleden.
Was de good old service georiënteerde architectuur (aka SOA) niet een probaat middel tegen digitale monocultuur?
De vraag stellen is haar beantwoorden:
https://chatgpt.com/share/67274e7c-a1dc-8006-93b6-3b686ad73eb8
Probeer ChatGPT nog eens met ‘one ring to rule them all’ Jack want het probleem van de ESB is uiteindelijk de bron. Je kunt je eerdere conversatie voeden met mijn vraag hoewel deze al genoeg nadelen geeft over SOA zoals: “Het ontwerp en onderhoud van SOA-systemen kon behoorlijk complex zijn en zonder strikte governance kon de architectuur vervallen in een spaghetti aan services.”
Wat betreft een strikte governance en een spaghetti aan services klinkt SOA nog altijd als een ziekte.
Oudlid, zoals je weet geeft ChatGPT vooral bondige samenvattingen van huidige inzichten. En dus laat ChatGPT hier heel precies zien waar het nog altijd mis gaat met SOA.
1)
Overduidelijk blijft SOA hier volledig binnen het systeemdenken:
…. heterogene systemen en diensten in één ecosysteem samenbracht…
…. een bepaald subsysteem in Java …een ander in .NET…
…. SOA-systemen ….
terwijl SOA (done right) juist een afscheid van systemen en systeemdenken is.
2)
Wil je de toegang tot databases door middel van SQL inbedden in duistere 3GL-talen als Java of .NET?
3)
Heel terecht spreekt ChatGPT van “spaghetti aan services” maar wat krijg je als je doorschakelt naar microservices?
1) Dus je bent een voorstander van het mechanistisch denken Jack?
2) Geautoriseerde toegang om compliance na te leven zie punt 1.
3) Hoge compliance kosten door complexiteit in het informatiebeleid.
De open deuren die open blijven staan in mijn eerste reactie gaan vooral om de achterdeuren als we kijken naar een open cultuur van vertrouwen. Vergeet niet de logging Jack voor het vraagstuk van waar data vandaan komt, hoe deze verandert, welke systemen en processen het doorloopt en waar de informatie uiteindelijk terechtkomt. Er staat nog een discussie open over het DIKW-model want deze CoC is altijd een leuke in de bewijslast als we kijken naar beschuldigingen uit het ongerijmde. Misschien eens denken aan DOA want laatste zin, eerste reactie ontstond er een domino-effect door een bonnetje.
Wat betreft het afwegen van de risico’s moet je soms kiezen tussen 2 kwaden op basis van de impact volgens de filosofie van Cicero. De westerse cultuur is nogal zwart-wit geworden door Duitse denkers die wat morele problemen hebben met keuzen uit het verleden. Cicero en Confucius komen uit verschillende culturele tradities maar hebben overeenkomsten in idealen als het gaat om de held op het schild als we kijken naar de ethiek in politiek. Wat betreft machtsconcentraties heeft NCTV boter op het hoofd want ‘one ring to rule them all’ gaat om centralisatie van de macht via de controle.
1) Niet mechanistisch en ook niet het holistisch (want dat is systeemdenken), maar architecturaal.
2) Zou je wat betreft compliance niet meer transparantie willen?
3) Eens.
https://www.youtube.com/watch?v=M3QYDtSbhrA