Opinie: Steek de hand in eigen boezem!

78 procent vindt dat een risico, en daarmee is de onoplettende, zorgeloze collega zondebok nummer 1. Ook vervelend, trouwens, dat ze steeds vaker hun eigen apparatuur gebruiken (volgens 68 procent een risico). Om maar niet te spreken van die commeriële cloudapplicaties die kennelijk zo handig zijn voor hun werk (uit het niets op drie, met 66 procent van de stemmen).

En het is ontegenzeglijk waar. Medewerkers maken domme fouten die ernstige consequenties kunnen hebben. Ze klikken met hun domme kop op een link in mailtje dat tot nadenken had moeten stemmen. Ze steken zo maar allerlei USB-sticks in hun systeem. En ze doen dingen op het web die ze beter niet hadden kunnen doen.

Misvatting

Maar het helpt niet erg om dat gegeven samen te vangen in de termen onoplettende zorgeloze eindgebruiker. Sterker nog, dat werkt averechts. Want wie vanuit die instelling naar de incidenten kijkt, denkt kennelijk dat het allemaal zo doorzichtig is voor de medewerker, waar de risico’s schuilen en wat ze zijn. Dat is een misvatting. Voor de doorsnee collega is het volstrekt onbegrijpelijk waarom zo’n prettige, overzichtelijke buurt als internet zo gevaarlijk kan zijn. Die gevaren hebben geen pendant in de werkelijkheid die mensen kennen. Bovendien gaan ze ervan uit dat de leveranciers van c.q. op internet de veiligheid garanderen, net zoals je dat bij andere producten en diensten verwacht. Een begrijpelijke verwachting, maar helaas óók een gevaarlijke misvatting.

Zorgwekkende staat

Want de staat van de IT is zorgwekkend. Het SANS Institute publiceerde jarenlang een top 25 van meest gemaakte fouten bij software-ontwikkeling. Die lijst is al een paar jaar niet geactualiseerd. Dat is ook niet zo vreemd. Jaar in, jaar uit stonden dezelfde fouten in de lijst. Het leervermogen in de software-industrie lijkt niet al te groot.

Opmerkelijk was ook het lijstje van 10 regels voor veiliger programmeren van Gerard J. Holzman van het Jet Propulsion Laboratory van de NASA. Impliciet geeft hij daarmee aan dat er bij software-ontwikkeling veel gebruik wordt gemaakt van onveilige constructies. En dat is geen noodzaak, maar een keus. De praktijk bij het Jet Propulsion Laboratory bewijst dat het heel goed mogelijk is software te ontwikkelen zonder gebruik te maken van constructies waarmee de veiligheid niet gediend is.

techUK publiceerde onlangs een lijst veelgemaakt fouten bij website-ontwerp op basis van penetratietesten. Daarvan zijn een aantal zo voor de hand liggend, dat je haast bevangen wordt door plaatsvervangende schaamte - voor de IT’ers die die website hebben ontwikkeld. Fouten ook waarvan je je afvraagt hoe oplettendheid en zorgzaamheid bij de bezoeker zou helpen. Hoe moet iemand vooraf controleren of een site ten prooi gevallen is aan Cross Site Scripting. Hoe zie je of je wachtwoord gecompromitteerd is doordat het wachtwoordbeleid van de site niet deugt?

Alle software lek

En wat te denken van de enorme stroom patches die ook privé-gebruikers van software over zich uitgestort krijgen. Of van acties als van Google, dat niet schroomt om informatie over ongepatchte lekken in Windows te publiceren omdat Google vindt dat Microsoft aan 90 dagen na melding genoeg moet hebben om met een patch te komen?

Trouwens, waarom is er geen sprake van betaling naar rato van gebruik op internet? Bij elektriciteit, gas en water vinden we dat heel normaal; daar wil je niet meebetalen aan de badgewoonten of wietplantage van de buren. Maar bij internet en e-mail is dat geen optie, daar schiet iedereen in de stress bij het idee alleen al. Misschien is het ook wel een goede beslissing om niet naar gebruik af te rekenen. Maar het impliceert wel dat slachtoffers die verstrikt zijn geraakt in een botnet daar niet op geattendeerd worden door sterk gestegen rekeningen. Wat het voor botnetbeheerders een stuk lastiger zou maken om internet om te toveren in een onveilige buurt.

Het blijft een IT-probleem

Het probleem zit in IT, het is veroorzaakt door IT en door IT-bedrijven. Je mag best eens stoom afblazen over die klieren van eindgebruikers, want hun stommiteiten leiden tot een hoop zorg, en bergen vervelend werk. Als je maar niet vergeet dat IT ervoor verantwoordelijk is dat ze die stommiteiten überhaupt kunnen begaan, en dat de oplossing voor het probleem ook van de IT moet komen. Niet in de vorm van documenten met do’s en dont’s waar medewerkers die steeds vaker thuis, in eigen tijd, ook nog voor de baas werken zich toch niet aan kunnen houden. Maar met werkbare oplossingen, geschraagd door IT-systemen met een hoge kwaliteit. Dat is niet iets waar IT’ers individueel voor verantwoordelijk zijn of wat zij individueel kunnen regelen. Maar we kunnen er wel aan werken, al was het maar door onze bazen er steeds op te blijven wijzen.