IT-helden oorzaak van cybergijzelingen
Het gijzelen van complete netwerken en vertrouwelijke informatie door het eigen personeel, zoals bij een glasvezelnetwerk in San Francisco gebeurde, kan met name plaatsvinden bij bedrijven waar een handjevol mensen of slechts één persoon voor de IT-infrastructuur verantwoordelijk is. Er hoeft trouwens niet eens van kwalijke opzet sprake zijn, wat als een sleutelfiguur plots een ongeluk krijgt?
Toch komt het bij menig bedrijf voor dat slechts een paar mensen op de hoogte van kritieke systemen zijn en hun wegvallen ernstige consequenties kan hebben. Ondernemingen moeten werknemers vertrouwen dat zij eerlijk hun werk doen, maar aan de andere kant vormt het eigen personeel ook de grootste dreiging, doordat zij toegang tot systemen nodig hebben en dat betekent dat ze schade kunnen veroorzaken.
"Geen technologie of proces kan voorkomen dat een insider schade aanricht, zeker niet met de kennis zoals Terry Childs had. Wat wel beheerd kan worden, en wat zo schokkend aan dit incident is, is de enorme omvang," zegt Mike Fratto. Volgens Jonathan Feldman ontstaan dit soort problemen als automatiseringsafdelingen op helden in plaats van een "team aanpak" vertrouwen. De IT-held is een solist die in z'n eentje voor de kritieke systemen verantwoordelijk is.
IT-helden willen vaak niet de controle en macht over hun systemen opgeven. Daardoor vormen ze een serieus risico als ze het bedrijf verlaten, ziek zijn of terugslaan, zoals Childs deed. De oplossing ligt in het opzetten van een IT-team. IT-helden zijn een eenvoudige oplossing, maar het investeren in een IT-team betaalt zich uiteindelijk vanzelf uit en zorgt ervoor dat de automatiseringsafdeling veerkrachtiger is. "Je weet wanneer je succesvol bent als je je IT-personeel op vakantie kan laten gaan, zonder dat je hun mobiele telefoon- en hotelnummers hoeft te vragen mocht er iets misgaan."
aanricht,
zeker niet met de kennis zoals Terry Childs had. Wat wel beheerd kan
worden, en wat zo schokkend aan dit incident is, is de enorme omvang,"
zegt Mike Fratto."
De publiciteit is een stuk omvangrijker dan de werkelijke grootte van dit
incident. Immers zijn de systemen voortdurend beschikbaar geweest, en is er
wat dat betreft helemaal geen schade. Wel is er inderdaad natuurlijk een
goede les uit te leren dat je als bedrijf ervoor moet zorgen niet van een
individu afhankelijk te zijn, en wat dat betreft moet men de gevolgde
procedures bijstellen.
Technologie en processen kunnen overigens wel degelijk de mogelijke
schade die een insider als Childs aan kan richten verkleinen, en de
mogelijkheden om dergelijke grappen uit te halen verminderen.
eh, A-team
goedkoop mogelijk, dan krijg je dit soort situaties ...
is weer een WC-eend. En dan een heel tendentieuze.
Het alternatief voor IT helden wordt helaas niet nader uitgelegd. Want: er is
geen alternatief: Kennis is geen pindakaas die je zo maar kunt 'overdragen'.
Kijk maar in de boeken van kennismanagement, waar heel expliciet gemaakt
wordt dat dergelijke vluchtige kennis niet gemanaged kan worden. Maar dat
vertellen ze je pas als KM ingevoerd is en de problemen niet opgelost zijn.
Bovendien: het gaat bij IT helden zelden om kennis, maar meer om analytisch
en abstractie vermogen. En dat kun je niet eens vastleggen, laat staan
overdragen. Iedere poging dergelijke 'kennis' te managen leidt tot een
enorme
bureaucratie en navenante kostenstijging, zonder enig ander resultaat. Ik heb
mensen gezien die in een paar dagen zoeken zeer complexe omgevingen
snappen, en veel meer mensen die na jaren er nog steeds niets van kunnen.
Je kunt in zo'n geval beter een held lenen bij de buren, met het juiste
analytisch vermogen. Het probleem is wel gerelateerd aan paying peanuts,
maar vooral beheer als MBO taak gedefinieerd wordt. Kennismanagement
voorstanders (tegenstanders van helden) verkleuteren beheer en de
bijbehorende waardering; een kansloze aanpak. Een beetke netwerk vraagt
nu eenmaal meer intelligentie dan de drie bestuurlijke lagen erboven. 'Alles"
opschrijven is je verliezen in het onmogelijke.
analytisch
en abstractie vermogen. En dat kun je niet eens vastleggen,
laat staan
overdragen."
Bingo. Al gaat het natuurlijk in belangrijke mate ook om
kennis, alleen wordt die kennis vaak op een effectievere
manier toegepast.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
