Om een it-infrastructuur en de informatie-activa van een bedrijf te beschermen, wordt daar veelal een muur omheen gebouwd. Hetzelfde zie je bij traditionele gesloten software: houd je de code geheim, dan kan niemand zwakheden ontdekken. De realiteit is echter anders. Hackers laten zich niet tegenhouden door een firewall of de gebruikersovereenkomst van software. Open source biedt een veel transparanter model voor een goede beveiligingsstrategie.
Het is overduidelijk dat enkel het blokkeren van bedreigingen niet werkt in het huidige digitale tijdperk. De lijst met grootschalige cyber security-inbraken lijkt alleen maar toe te nemen. Uit het Internet Security Threat Report van Symantec blijkt zelfs dat vijf van de zes grote internationale bedrijven en twee derde van de kleine bedrijven in 2014 slachtoffer was van cybercriminaliteit. Het gaat er dus niet om óf een organisatie wordt aangevallen, maar wanneer. Ceo’s moeten zich daarom afvragen wat de beste oplossing is voor hun informatiebeveiliging. Open source software biedt volgens mij een strategie om deze problematiek te adresseren. Door de openheid van code en de community is er namelijk veel meer controle op de veiligheid, en daarnaast biedt het een nieuw model om Capex en Opex te beheren. Ofwel: minder terugkerende licentiekosten, en meer budget voor innovatie en beheer.
Open source community’s
Open source software is gebouwd op een fundament van openheid. Dit heeft – zeker in het geval van de grote open source projecten – geleid tot oplossingen die robuuster en betrouwbaar zijn dan veel gesloten software. Doordat duizenden ontwikkelaars zich bezighouden met het beoordelen en bewerken van code, staan de bekende open source communities, zoals Linux en PostgreSQL, onder constante controle. Door de meedogenloze kritiek van deze ontwikkelaars worden zwakheden snel gevonden en verholpen, en wordt de software gemonitord op valkuilen of achterdeuren. Dit staat in schril contrast met de controversiele blogpost van Oracle van een tijdje geleden, waarin het proactief opsporen van beveiligingslekken streng werd veroordeeld.
Dit geldt overigens niet voor alle open source-projecten, omdat ze lang niet allemaal even volwassen zijn. Deze software zal echter maar zelden ingezet worden om kritische financiële gegevens op te slaan, gevoelige patiëntgegevens te verwerken of grote hoeveelheden transacties te analyseren. Daar tegenover staat een volwassen open source project als PostgreSQL, met een historie die teruggaat naar 1986 dat een grote, zelfbesturende gemeenschap heeft die zich bezighoud met het verbeteren van de kernel. Bovendien wordt de ontwikkeling gesteund door overheden en het bedrijfsleven, die de waarde inzien van deze gezamenlijke ontwikkeling. Zo heeft het project een niveau van volwassenheid bereikt dat gelijk is aan traditionele software, met als aanvullend voordeel dat security niet alleen door marktwerking wordt gedreven, maar door openheid en controle door de community.
Encryptie en wetgeving
In het huidige onvoorspelbare economische en politieke klimaat is open source software een interessante investering voor cio’s, die naast kostenbesparing kan bijdragen aan een betere informatiebeveiliging . Veel commerciële en publieke organisaties worden overal ter wereld geconfronteerd de grote uitdaging om hun uitgaven af te wegen tegen de noodzaak van verbeterde informatiebeveiliging. Deze problemen zijn niet gemakkelijk opgelost. Ben je niet in staat om bedrijfsgegevens te beschermen – en nog belangrijker klantinformatie – dan kan dit leiden tot verlies van vertrouwen van de aandeelhouders, reputatieschade, een deuk in de winstmarge of ongewenste controle van toezichthouders.
Open source biedt zowel verlichting van de budgettaire druk als het vertrouwen dat die investering de basis kan zijn van een sterke informatiebeveiliging strategie. Voor bedrijven die overwegen om voor open source software te kiezen is het echter belangrijk om te weten of de oplossing wel aan de wettelijk vereiste beveiligingsstandaarden voldoet. Zaken als encryptie, zowel tijdens transport als opgeslagen, zoals onder andere gedefinieerd in wettelijke regels als de HIPAA. Het is belangrijk om te vragen wat het beleid van de aanbieder is voor het beheren van gegevens, niet alleen voor rolgebaseerde authenticatie, maar bijvoorbeeld ook waar die gegevens precies worden opgeslagen.
Groeiende complexiteit
Informatiebeveiliging zal de komende jaren alleen maar complexer worden. Medewerkers brengen nu al steeds meer privé-apparaten naar de werkplek mee en eisen toegang tot het bedrijfsnetwerk. Ook het internet of things (IoT) zorgt ervoor dat er nog meer toegangspunten komen die een potentieel doelwit zijn voor hackers om het netwerk binnen te dringen. Het gebruik van technologie en software binnen organisaties stijgt exponentieel, en traditionele softwaremodellen zijn daarom eigenlijk niet meer geschikt.
Bedrijven moeten zich steeds sneller ontwikkelen en kunnen daarbij niet meer vertrouwen op traditionele it-oplossingen. Cio’s kunnen zich niet meer veroorloven te blijven investeren in software gebaseerd op levenslange licenties, onderhoudskosten en waarvan de code uit het zicht van een community wordt ontwikkeld. Open source wordt steeds meer het standaardmodel voor software binnen bedrijven, door alle voordelen die het biedt om het gebruik flexibel op te schalen en het feit dat er continu aan wordt ontwikkeld. Open source komt tegemoet aan de eisen van moderne organisaties en is een geschikt alternatief om aan de hedendaagse wensen voor informatiebeveiliging te voldoen.
Open source in de cloud
Voor veel cio’s zal het kostentechnisch niet realistisch zijn om hun eigen informatiebeveiligingstrategie op te zetten en te beheren. Het wordt echter steeds makkelijker om it-infrastructuren te migreren naar de cloud, waarmee verantwoordelijkheid over security wordt overgedragen aan cloud service providers zoals Amazon Web Services (AWS). Deze partijen zullen vervolgens de taak op zich nemen om ervoor te zorgen dat de it-infrastructuur van klanten aan alle wettelijke eisen voldoet. Hiermee zal de rol van de cio verschuiven naar die van een chief compliance of risk assessment officer. Maar in essentie profiteren zij dan nog steeds van de voordelen die open source software hen kan bieden. Want welke software denk je dat deze providers gebruiken hun infrastructuren te bouwen?
Nogal radicale stellingen in dit artikel, bijv. “Deze partijen zullen vervolgens de taak op zich nemen om ervoor te zorgen dat de it-infrastructuur van klanten aan alle wettelijke eisen voldoet.”
Een hosting provider die security maatwerk gaat leveren ?? Tegen welke kosten ? Voor welke typen infrastructuur ? Voor welke wet precies, die van de EU, de US, China ?
Wat good old Wikipedia zegt :
https://en.wikipedia.org/wiki/Open-source_software_security
Drawbacks of open-source security
– Attackers can find vulnerabilities easier with the source code.
– Simply making source code available does not guarantee review.
– Having many users look at source code does not guarantee that security flaws will be found and fixed.
Verder:
– Spurious open source : even amateurs could easily design and distribute some malware by embedding malicious code into the original open source distribution and presenting to innocent end-users.
– Lack of sponsorship = lack of patches
– onvoorspelbare versie afhankelijkheden in de software stack : hogere kosten voor beheer en upgrades.
Nogal radicale stellingen in dit artikel, bijv. “Deze partijen zullen vervolgens de taak op zich nemen om ervoor te zorgen dat de it-infrastructuur van klanten aan alle wettelijke eisen voldoet.”
Een hosting provider die security maatwerk gaat leveren ?? Tegen welke kosten ? Voor welke typen infrastructuur ? Voor welke wet precies, die van de EU, de US, China ?
Wat good old Wikipedia zegt :
https://en.wikipedia.org/wiki/Open-source_software_security
Drawbacks of open-source security
– Attackers can find vulnerabilities easier with the source code.
– Simply making source code available does not guarantee review.
– Having many users look at source code does not guarantee that security flaws will be found and fixed.
Verder:
– Spurious open source : even amateurs could easily design and distribute some malware by embedding malicious code into the original open source distribution and presenting to innocent end-users.
– Lack of sponsorship = lack of patches
– onvoorspelbare versie afhankelijkheden in de software stack : hogere kosten voor beheer en upgrades.
@kj
de beweringen die je citeert zijn ook erg tendencieus.
Uit verschillend onderzoek van o.a de EU komt meer als duidelijk naar voren dat FOSS (die genoeg review krijgt) minder problemen heeft.
Wellicht interesseert je de beslissing van een grote amerikaanse hoster, die is volledig op linux overgestapt omdat er te veel problemen met windows waren.
Natuurlijk moet je bij de keuze voor FOSS wel degelijk op je hoede zijn voor kleine en slecht onderhouden projekten, maar vandaag de dag wordt heel veel gesponsort door grote bedrijven als IBM/Oracle/Google/etc. en wikipedia is niet altijd een betrouwbare bron van informatie.
De eerste zin van je reaktie vondt ik wel een treffer, ik geloof ook niet zo in die “heilige boontjes”.
@Jan
IK werk ook al jaren met Linux (Suse/Redhat) OS in Enterprise omgevingen en daar is inderdaad niks mis mee.
Maar om te stellen dat “Open Source” a priori veiliger is dan “gesloten software”, onafhankelijk van bijvoorbeeld de grootte van de user-populatie, is mij wat kort door de bocht.
Zo heb ik een tijdje gewerkt bij een groot IT bedrijf waar OpenOffice verplicht moest worden gebruikt & uitgetest door het personeel. Binnen 1 week zat iedereen weer terug op Windows. Zelden zo’n chaos meegemaakt.
kj, klopt absoluut.
Wat in de it nogal eens vergeten wordt is dat je het echt wel kunt vergeten als gebruikers niet willen. Zelf ook wel eens mee op mijn snufferd gegaan.
Ik heb iig andere ervaringen in een omgeving waar allerlij systemen door elkaar gebruikt worden. Vaak weet de gebruiker niets eens op wat voor systeem of met wat voor pakket deze bezig is.
OSS veiliger als ClosedSoftware ? Tja idd ook een nogal baute bewering.
Immers de veiligheid hangt in eerste instantie af van de deskundigheid van de gene die het spul inricht en beheerd alsmede van de gebruikers.
Verder wordt het lastig om te beweren dat de een of andere php webbased toepassing uberhaupt een vorm van securety kent.
Waar zo is mijn ervaring met OSS wel absolute winst valt te behalen is stabiliteit, al hangt dat veelal ook van het onderliggende OS af.
.e.g. apache op een Windows systeem draaien, (ik verzin dit niet zelf) is natuurlijk niet echt een heel verstandige oplossing.
@KJ
Open Office in een adem noemen met bedrijfskritische open source oplossingen?
Ja, inderdaad, ook zat binnen een week weer terug op Office voor mijn word- en exceltoepassingen, maar de open source oplossingen waarin hierover wordt gesproken hebben zulke verregaande synergetische voordelen voor de gehele IT-omgeving, dat je echt wel een beter argument moet aandragen dan een vergelijk met OpenOffice….
Hier gaat het natuurlijk om uniforme normalisatie en veiligheid van Postgresql databases en dus de data oplag bij Amazon die natuurlijk niet zo maar een provider is en eigen cloud producten levert.
Dit artikel gaat niet over opensource in het algemeen en al helemaal niet over PHP.
Dat alle opensource idd voor professionals die dergelijke zakelijke software inzetten een open karakter heeft en dus door continue te monitoren en code inzichtelijk is, kan ik niet als nadelig zien.
En het argument dat criminelen dit ook kunnen zien en manipuleren is natuurlijk geen geldig argument,ook bij opensource software kun je de code onzichtbaar/ontoegankelijk maken.
Even snel als de software die open is wordt gemodificeerd, is de software in hun eigen datacenter herstelt.
Externe producten als kernel of OS worden door een veel groter aantal pro-nerdys gerepareerd en pas diverse stadia van testen vrijgegeven.
Dit gaat dus anders (lees sneller) dan de meeste commerciële software leveranciers.
Daar komt bij dat de architectuur van postgresql eenvoudig niet toelaat deze extern te manipuleren,noch via een (versleuteld) root of gebruikers wachtwoord.