Security is stuk!

Want zij hacken. Zij stelen. Zij zijn gemakzuchtig (en dus onveilig bezig). Zij brengen ICT-oplossingen gehaast op de markt. Zij dekken kwetsbare plekken niet goed af. Zij ontwikkelen met security als gedachte achteraf. Zij geven niet genoeg beveiligingsbudget. Zij berichten overtrokken over cybergaten. En ondertussen draait de hele wereld op en om ICT.

Onveilige ICT raakt dus die hele wereld, en alle betrokkenen daarin. Helaas is security een free-for-all en blijft het een rat-race om ICT veilig te maken en veilig te houden. Een schijnbaar ondankbare taak, die veelal wordt toegekend aan IT’ers. Maar is dat wel terecht?

Ter verantwoording?

Uiteindelijk draait het om verantwoordelijkheid. Maar wie is er verantwoordelijk? En wie vóelt zich verantwoordelijk? En wie wordt er eigenlijk verantwoordelijk gehouden? Een klassieke IT-uitdrukking is PEBKAC: Problem Exists Between Keyboard And Chair. Oftewel: het ligt aan de gebruiker. Hij of zij doet immers onveilige dingen. Zoals mailtjes van onbekenden openen, of klikken op linkjes die mogelijk niet vertrouwd zijn.

Recent onderzoek van het Ponemon Institute onder bijna 6000 IT- en securityprofessionals wijst uit dat die collega’s van AG Connect-lezers zich serieuze zorgen maken over ‘vergissingen door gebruikers’. Een soortgelijke zorg over insider threats door dom gedrag komt naar voren uit een kleiner onderzoek door een SaaS-leverancier. Op gebied van educatie valt er nog een wereld te winnen.

Apple en de NS

Alleen, wacht even. Voor wíe doen IT’ers nu eigenlijk hun werk? En wat vonden veel IT’ers van Steve Jobs’ reactie op antennagate? ‘You’re holding it wrong’, zei de CEO in essentie over het signaalverlies doordat handen de buitenrand van de iPhone 4 afdekten.

De parallel valt te trekken met de NS, geplaagd door vertragingen en storingen, die eigenlijk helemaal geen problemen zou hebben als er maar geen passagiers waren. Een cynische opmerking die gelijk de vinger op het pijnlijke punt legt: het gaat om de eindgebruikers.

Sámen!

Bovendien: zou ICT zonder gewone gebruikers geen securityproblemen hebben? Dat valt ernstig te betwijfelen gezien de diverse kwetsbaarheden in producten, de gapende gaten in configuraties, de tergende tekorten in budgetten, enzovoorts. ICT-onveiligheid komt dus niet echt neer op één factor of één partij. Gelukkig geldt dit ook voor ICT-beveiliging: het is aan alle betrokkenen om te helpen security te fixen.