Column: Als de eindgebruiker buikpijn krijgt heeft ie pech…
Ervaren industry professionals gebruiken analogieën om duidelijkheid te scheppen in de ondoorzichtige wereld van vierletterafkortingen. Ze beschrijven bijvoorbeeld breedbandcommunicatie als een wegenstelsel met snelwegen, afritten en ventwegen. Of ze trekken parallellen tussen luchtvaartmaatschappijen en telefoonbedrijven om de door services gedreven aanpak toe te lichten die nodig is om de prijsval van bandbreedte tegemoet te treden.
Mijn favoriete analogie is die van ISPs en telco’s enerzijds, en nutsbedrijven anderzijds. Bijvoorbeeld dat het leveren van dataservices op de een of andere manier net zoiets is als het voorzien in drinkwater. Beide hebben reservoirs (backbone), buizen (DSL), kranen (apparatuur van de eindgebruiker), meters (billing) …. de lijst is langer. Het is een sterk beeld met helaas een prop muurvast in de zwanenhals: water van het waterleidingbedrijf is gezuiverd en de datastroom van de service provider niet.
Als service providers willen bijdragen aan het ideaal dat de brede noodzaak van moderne communicatie consumenten en bedrijven ertoe zal brengen toenemende hoeveelheden bandbreedte en services als essentiële levensvoorwaarden te absorberen, dan is het duidelijk aan hen om zich te gaan gedragen als andere nutsleveranciers. Ze zullen een dienst moeten leveren die klaar is voor consumptie zonder dat verdere behandeling nodig is. Een dienst die de apparatuur die ze wil voeden niet onpasselijk maakt.
Dankzij een combinatie van regelgeving, vrijwilligheid en commerciële noodzaak herinvesteren waterleidingbedrijven doorlopend significante bedragen van hun inkomsten om te waarborgen dat hun product betrouwbaar en geschoond is van de ongerechtigheden die de mensen ziek maken die voor het product betalen. In telecommunicatie daarentegen is het de eigen schuld van de klant als ie van het virtuele 'service' water buikpijn krijgt.
Verantwoord ondernemen betekent schone netwerken
In veel opzichten zal krachtig zelfonderzoek naar de sociale verantwoordelijkheid van de service providers hun business in feite verrijken met extra commerciële omzet en mogelijk concurrentievoordeel. Het enige grote obstakel dat bedrijven afhoudt van het buiten hun eigen gesloten netwerken en in de internet wolk plaatsen van bedrijfskritische applicaties en voorzieningen (supply chain management, spraaknetwerken, collaboration systems, betalings- en transactiedatabases) als onderdeel van een managed service is de terechte zorg over de beveiliging. Met een groeiend volume aan in het wild voorkomende virussen, worms, spam, spyware en grayware is het wereldwijde netwerk geen machtige rivier meer maar een zompig moeras. IDC Research heeft onlangs opgemerkt dat dit moeras ongure bewoners van uiteenlopende pluimage kent, waaronder Script Kiddies, Wannabees, Vandalen, Hacktavists, Georganiseerde Misdaad, Terroristen, inlichtingendiensten en Hackers for Hire.
Bedrijven willen niet dat hun merken en hun omzetgenererende diensten worden aangetast, net zo min als een particulier het risico wil lopen op een aanval op de harde schijf van zijn computer elke keer als ie online gaat. 'Schoonwater ISPs' zouden beslist een warm onthaal vinden en onmiddellijk voorsprong op hun concurrenten krijgen. Traditionele nutsbedrijven kunnen nu alleen nog maar concurreren op prijs, een niet vol te houden differentiatie.
Een tegenargument tegen gezuiverde bandbreedte is dat de wetenschap al lang geleden de bacteriën in water de baas is geworden, terwijl het voortdurend muteren van computerbugs op het web niet te beheersen valt. Dit is eenvoudig niet waar: menselijke en digitale ziektekiemen ontwikkelen zich beiden in even hoog tempo, net als de kwaadaardige tactieken van de indringers. Bovendien is het vandaag al mogelijk computer malware dynamisch te elimineren voordat deze het bandbreedtewater bereikt. Onze bereidheid deze 'nutsdreigingen' te controleren is afhankelijk van onze capaciteit en bereidheid een technologische oplossing in te zetten die kan meeveranderen met de voortdurend optredende virusmutaties. Sommigen in deze wereld hebben wel degelijk de beschikking over zuiveringsvoorzieningen en netwerkbeveiliging terwijl degenen die dat niet hebben lijden onder ernstige en onnodige operationele en uiteindelijk financiële uitval.
Om een echte nutsbedrijf te worden ontkomt men er niet aan een handvest te ondertekenen dat belooft te voorzien in een betrouwbaar en schoon product. Ik zou niet weten waarom gebruikers/klanten een dergelijke vooruitgang en betrokkenheid niet zouden belonen.
Lessen uit de energiewereld
De plicht van nutsbedrijven om een 'schoon' product te leveren heeft hun bedrijfstak naar een hoger niveau gebracht, met name in het volgen van het Kyoto Protocol dat de reductie van CO2 uitstoot stimuleert. De London Carbon Exchange stelt schone producenten in staat overschotten op hun emissierechten te gelde te maken, ten nadele van vervuilende leveranciers die emissierechten moeten kopen of anders boetes en verdere strafmaatregelen moeten ondergaan. De eenvoud en de transparantie van het system deelt eerlijk straf en boete uit, al naar gelang men levert in lijn met de sociale verantwoordelijkheid. Welke risico’s zou de service provider industrie lopen met een dergelijke beurs in de markt van besmet verkeer, ongewenste inhoud en netwerk down time?
Of het nu gaat langs de lijnen van een vrijwillig handvest of van een stuk opgelegde wetgeving, telco’s kunnen zich uiteindelijk onderscheiden en grotere waarde aan de klant verschaffen voor een hogere prijs. Zonder een van beide zullen ze doorgaan met het aanbrengen van lapmiddelen en een niet drinkbaar massagoed leveren in plaats van een zuiver product. Klanten zullen stemmen met hun portemonnee en kiezen voor een virusvrije netwerkaansluiting die hun bedrijfsoperaties of investeringen niet in gevaar brengt. De keuze is zuiver en duidelijk.
Harm Jan Arendshorst is manager bij Fortinet Benelux.
met de pc en pas al ze voor de cursus slagen dan mogen ze de software
gebruiken.
Gebruikers moeten eerst een computer cursus doen over veilig werken
met de pc en pas al ze voor de cursus slagen dan mogen ze de software
gebruiken.
gebruik te laten volgen, ookal werken vele van ons al in de IT, en zouden
dus moetne weten hoe er mee om te gaan.
moet stellen?
Wil je dat ze PDI / AMBI / A+ niveau cursussen doen, of wil je de cursus
richten op beveiliging? Geloof me, geen van deze richtingen zal nut
hebben, omdat de meeste gebruikers de computer als een last zien,
iets waarmee ze hun werk moeten doen.
Het is geen hulpmiddel of systeem dat hun werk uit handen neemt, maar
juist voor meer werk zorgt (omdat het ding niet werkt zoals ze willen, omdat
ze het systeem niet snappen, etc.).
Awareness is goed, maar de gemiddelde Jip of Janneke zit niet te wachten
op informatie over virussen, trojans, backdoors, lekken, software updates,
phishing mails, firewalls, virusscanners, spamfilters en wat we allemaal
nog meer nodig achten. Ze willen dat dat domme kastje doet wat zij
denken het systeem aan opdrachten te geven.
Al die argumenten over cursussen, internet rijbewijzen en weet ik veel wat
heeft geen nut. Waarom niet: Om dezelfde reden dat mensen steeds maar
met hetzelfde probleem naar een helpdesk bellen: Het interesseerd de
mensen niet. Ze willen niet bezig zijn met beveiliging en allerlei obscure
dingen. Ze willen werken (op kantoor) en ze willen thuis chatten, mailen,
MSN-en, patience spelen en een briefje kunnen tikken.
En interesse in security kun je niet kweken/leren, dat zit in de persoon of
niet en helaas is die interesse maar bij erg weinig mensen aanwezig.
IDC Research heeft onlangs opgemerkt dat dit moeras ongure bewoners
van uiteenlopende pluimage kent, waaronder Script Kiddies, Wannabees,
Vandalen, Hacktavists, Georganiseerde Misdaad, Terroristen,
inlichtingendiensten en Hackers for Hire.
Dit is weer een achterlijke benadering en demonisering van Hacktivisten.
Het op een lijn stellen van politieke dissidenten en terroristen is weer
typisch een benadering van het grootkapitaal, die o-zo-bang zijn voor alles
wat niet met hun imperialisme strookt.
Voor water, gas en elektriciteit zijn vrij 'eenvoudige' criteria op te stellen voor
eindgebruikers. Voor Internet is dat niet zo eenvoudig. Wat voor de een
gewenst is, is voor een ander ongewenst. Informatie over abortus is daar
een mooi voorbeeld van.
Een vergelijking met een wegennetwerk lijkt meer op zijn plaats. Ook
gezien de voorgaande reacties op een verplichte cursus voordat je iets met
Internet zou mogen doen.
Bij een wegennetwerk worden de verkeerstromen begeleid maar niet
geblokkeerd. Verder wordt verondersteld dat iedere deelnemer aan het
verkeer de verkeersregels kent en er naar handelt. De benodigde kennis
verandert in de loop der tijd. Een kind van 4 had 20 jaar terug heel wat
minder kennis van verkeersregels nodig als tegenwoordig. Ook zijn de
eisen voor het verkrijgen van het rijbewijs veranderd in de loop der tijd.
Daarnaast is er het verschijnsel van voortschrijdend inzicht.
Door dit inzicht zijn er regels opgesteld waar auto's aan moeten voldoen
voordat zij de weg op mogen. Daar is later een APK keuring aan
toegevoegd om te controleren of oudere auto's nog voldoende kwaliteit op
cruciale punten hadden om de weg op te mogen.
Voor Internet ontbreekt dit geheel. Er zijn hierbij in ieder geval twee kampen
te onderscheiden. Het ene kamp die vindt dat dit centraal geregeld moet
worden en het andere kamp die vindt dat dit de verantwoordelijkheid van
de eindgebruiker is.
Beide kampen hebben hun voor en nadelen. Voor het centrale kamp geldt
dat 'alles' geregeld is. Iedereen kan zonder gevaar het Internet opgaan.
Hierbij zijn wel wat problemen te zien. Wanneer is alles geregeld en wie
bepaald wanneer alles geregeld is? Daarnaast botst dit met de
ontstaanscultuur van Internet waarbij anarchie en chaos een belangrijke
rol hebben gespeeld. Ook voor het ontwikkelen van nieuwe technieken en
diensten.
Het decentrale kamp heeft als voorbeeld dat er geen censuur of wat dan
ook plaatsvind. Bij een samenleving die de vrijheid van meningsuiting
hoog in het vaandel heeft staan is dat belangrijk. (de westerse
samenleving vooral) Het probleem is dat je alle vormen van meningsuiting
tegenkomt. Ook diegene die je absoluut niet wilt. Om dit te vermijden heb
je een redelijk kennis nodig. Niet iedereen heeft dit. Vanuit de commercie
wordt dit genegeerd, hier een PC aansluiten op het Internet en je bent
online.
Als er weer vergeleken wordt met een wegennet. Je geeft niet iedereen
een auto met de melding daar is de weg, veel succes ermee.
Het zal uiteindelijk een combinatie van beide worden, je hebt een aantal
basis vaardigheden nodig voordat je zonder al te veel problemen het
Internet op kan. Dit kan niet voorkomen dat het zo nu en dan misgaat.
Daarnaast zullen een aantal basis regels gebruikt gaan worden die
centraal worden opgelegd. Een voorbeeld hiervan zijn de verschillende
spamfilters die ISP al dan niet verplicht aanbieden. Ook zijn er genoeg ISP
die geen open netwerk verkeer meer toestaan en gedeeltes of controleren
of geheel blokkeren. Waarbij nog steeds de eindverantwoordelijkheid bij
de eindgebruiker ligt.
over in 1 zin?
Sorry Harm Jan, ik haakte al af na de eerste paar zinnen.
Waar gaat dit
over in 1 zin?
Volgens mij is Harm Jan een journalist, die er net als de
rest van zijn collega's geen enkele notie van heeft, waar
hij het überhaupt over heeft.
De manier waar op hij het woord hacker of hackers gebruikt,
zegt alweer genoeg ;)
Ik ben het volledig met Walter op donderdag 22 maart 2007
14:30 eens.
Ondanks dat ik het 100% met Walter eens ben, blijf ik toch
van mening dat de eindgebruiker zelf verantwoordelijk blijft.
ISP's dienen na mijn mening gewoon hun "buizen" te leveren
en voor de rest moeten ze zich nergens mee bemoeien, anders
krijgen we straks in ons eigen kikkerlandje ook van die
Chinese toestanden.
Sorry Harm Jan, ik haakte al af na de eerste paar zinnen. Waar gaat dit
over in 1 zin?
houden en geeft hier een onderbouwing voor.
Kort genoeg?
Ondanks dat ik het 100% met Walter eens ben, blijf ik toch
van mening dat de eindgebruiker zelf verantwoordelijk blijft.
communicatie consumenten en bedrijven ertoe zal brengen
toenemende hoeveelheden bandbreedte en services als
essentiële levensvoorwaarden te absorberen
essentiële levensvoorwaarde wordt? Zouden er geen mensen
kunnen bestaan zonder stroom en ADSL? Water is een
essentiële levensvoorwaarde.
consumptie zonder dat verdere behandeling nodig is. Een
dienst die de apparatuur die ze wil voeden niet onpasselijk
maakt.
Daarbij controleert de kabelmaatschappij, alle onderdelen
van de aangeboden dienst. In het geval van internet, valt de
apparatuur van de eindgebruiker, buiten de controle van de
'kabelmaatschappij' (ISP). Dat lijkt mij een goede zaak.
Stel dat je alleen maar kon internetten via een door de ISP
aangeboden terminal?!
in de zwanenhals: water van het waterleidingbedrijf is
gezuiverd en de datastroom van de service provider
niet.
gevolgen van vervuilingen ook. Je kan datastromen zuiveren
van hard meetbare vervuilingen als malware. Maar een
overbezorgde regering zou datastromen ook kunnen zuiveren
van zaken die ze schadelijk acht voor het geestelijk welzijn
van haar bevolking. Rijkswaterstaat scant ook geen
(vracht)auto's naar mogelijk schadelijke inhoud. Ik denk dat
je een ISP moet vergelijken met een Rijkswaterstaat.
virussen, worms, spam, spyware en grayware is het
wereldwijde netwerk geen machtige rivier meer maar een
zompig moeras.
komen altijd binnen tientallen seconden aan. Websites openen
in seconden. Je vindt steeds meer informatie over steeds
meer onderwerpen. Ik ervaar al jaren probleemloos en snel
internet. Wie het als een zompig moeras ervaart, zou
misschien eens een ander soort 'terminal' moeten proberen.
ziektekiemen ontwikkelen zich beiden in even hoog tempo, net
als de kwaadaardige tactieken van de indringers.
bestempelen. Dus hoe weet de lezer nou wat hij moet geloven?
Off topic: Overigens is de n in beiden fout,
omdat het hier niet om personen gaat (Beide zonder n
is ook meer dan een. Verderop in '... Zonder een van beide
...' gaat het wel goed :)
handvest of van een stuk opgelegde wetgeving,
inhoud van tcp/ip-pakketjes, uit den boze. ISP's kunnen zich
inderdaad onderscheiden door de prijs waarvoor men malware
en spam-filters aan klanten aanbiedt. En de kwaliteit daarvan.
grotere waarde aan de klant verschaffen voor een hogere
prijs.
goede service voor een lagere prijs, meestal het gevolg van
een vrije markt-economie.
Nouja, het is altijd makkelijker iets af te zeiken dan zelf
iets te maken ;)
Een tegenargument tegen gezuiverde bandbreedte is dat de
wetenschap al lang geleden de bacteriën in water de baas is
geworden, terwijl het voortdurend muteren van computerbugs
op het web niet te beheersen valt. Dit is eenvoudig niet
waar: menselijke en digitale ziektekiemen ontwikkelen zich
beiden in even hoog tempo, net als de kwaadaardige tactieken
van de indringers. Bovendien is het vandaag al mogelijk
computer malware dynamisch te elimineren voordat deze het
bandbreedtewater bereikt.
Dergelijke schijnveiligheid wordt al jaren onder het label
Fortinet verkocht. Het komt erop neer dat Fortinet graag hun
producten bij ISP's wil afzetten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
