Column: De staat is terug
De vorige economische crisis - voor mensen die het zich niet meer herinneren - ging over het opleuken van bedrijfsresultaten zodat opgeklopte verwachtingen nog een maatje hoger werden. Grote bedrijven riepen zichzelf uit tot beste vertegenwoordigers van het zegevierend kapitalisme en de grote directeuren werden stijliconen. De beloning van het management was gekoppeld aan de in de beurskoers vertaalde verwachting. Het afstorten van dit systeem in 2002 doopten we de 'internetbubble' naar de meest zichtbare exponent.
Om herhaling van 2002 te voorkomen namen de verschillende overheden een reeks vergelijkbare maatregelen. De belangrijkste was het ruimhartig hanteren van het rentewapen door centrale banken, de Amerikaanse voorop. Als goede tweede kregen we de regels van SOx (2002), Tabaksblat (2003) en allerlei aanverwanten. Daarmee werd de toezichthouder de bescherming tegen een nieuwe dijkdoorbraak en begon de opmars van Compliance en GRC, inmiddels een zeer goed boerende bedrijfstak.
In 2008 heeft de volgende dijkdoorbraak daadwerkelijk plaatsgevonden. De medicatie van 2003 heeft niet geholpen. Als ik de tekenen goed versta moeten we ons voorbereiden op een grotere dosis: meer regeldruk en toezicht en een rente die naar de 0% of zelfs daaronder gaat. Het laatste is in volle gang, en het eerste zal komen zodra de stofwolken zijn neergedaald.
Door fors te strooien met renteverlagingen werd de crisis van 2002 vakkundig naar de toekomst doorgeschoven. Naar nu dus. In 2002 waren het de graaiende topondernemers die de wereld in een recessie stortten. Nu zouden die door Sox en Tabaksblat in toom worden gehouden. Is de huidige crisis dan nu de schuld van falend toezicht en te weinig regels, zoals Greenspan en oud-directeur Levitt van de SEC roepen. Onder vakmensen is dit toch wel de meest gangbare opinie. Maar er zijn ook andere geluiden die de oorzaak van 2002 én van de huidige kredietcrisis plaatsen in het monetaire beleid van de overheid. Dat zit zo: eerst moest de rente omlaag om de economie te stimuleren. Daarmee daalde en passant ook de kosten van de begrotingstekorten bij de overheid. Doordat de rente laag was, groeide de geldhoeveelheid, werd lenen spotgoedkoop, sparen zinloos en klotste het overtollige geld tegen de plinten. Zo stegen huizenprijzen, grondstofprijzen en boekwaardes van bedrijven explosief, want alles was beter dan 2% rendement op de staatslening. Ieder risico was gerechtvaardigd.
Maar omdat er tegenover dit extra geld geen extra waarde stond zou er toch sprake zijn van een torenhoge inflatie, leert de economische theorie ons toch? Ja en nee. Er wordt gezegd dat de geldhoeveelheid groeit vanwege de opkomende landen als China en India; daar wordt extra waarde gecreëerd. Maar dat is zeker niet het hele verhaal. Inflatie is een nationaal cijfer maar 'flitskapitaal' is internationaal en blijft buiten de boeken. Geen haan die ernaar kraait, en politiek bovendien verrotte handig, gegeven de automatische koppelingen en andere gevolgen van inflatie. Het is je toch ook opgevallen dat de stimuleringsmaatregelen van Bos buiten de inflatieberekeningen van het CBS blijven. Gaat dat geld dan rechtstreeks naar de opkomende landen?
Dit verklaart ook waarom de Europese Centrale Bank niet mee wil doen aan de lagerentepolitiek; zij stelt dat dit op de middellange termijn leidt tot grote gevaren voor de prijsstabiliteit. Milton Friedman wees daar ook al op.
En toch wordt hetzelfde middel weer volop ingezet, omdat het spook van de deflatie ook nog rondwaart. En daarom gaat de rente naar nul en draaien de geldpersen op volle toeren. We gaven uit wat we niet hebben, werden daar ziek van en het medicijn is meer uitgeven. Dat is als een biertje tegen een kater - het helpt even maar je blijft lazarus. Met als gevolg dat sparen geen rente meer oplevert. De eerste bank die 0 procent geeft op sparen is gesignaleerd: de Julian Hodge bank in Wales heeft de primeur. Feitelijk (gezien de inflatie) leg je er geld op toe als je het op de bank zet - let wel, dezelfde banken die onvoldoende liquiditeit zouden hebben om normale leningen te verstrekken.
Maar ja, dit verhaal is een stuk moeilijker (en nog vele malen complexer dan hierboven) dan de schuld bij de graaiers of de controleurs leggen. De markt heeft het gedaan, punt uit. Het marktdenken heeft helemaal afgedaan en de liberalen zitten waar de socialisten na de val van de muur in 1989 zaten: in het verdomhoekje. De staat is helemaal terug. En dat gaat wel een paar jaar zijn effecten hebben. Ook op ons werkveld.
In 2002 vervingen we het traditionele interne toezicht door het stelsel van extern toezicht via auditoren zoals we dat nu kennen. Nu de pendule richting de staat gaat, roepen velen dat ook deze vorm van zelfregulering onvoldoende is. Dat zal zeker leiden tot een berg extra regels en een sterke leiband voor de auditor. Dat gaan we merken, zeker als we het projecteren op de Security compliance. Het moment nadert dat je als bedrijf een bepaald stuk software niet mag gebruiken omdat de staatsauditor er nog geen toetsingskader voor heeft opgesteld....
Is er iets te leren uit het falen van de financiële auditing? Zeker wel. Auditing is gebaseerd op de Risk Based Approach, die in de informatiebeveiliging ook een tijdje in de mode is geweest en nog steeds breed gedragen wordt, via methodes en best practices. In het kort is dit: maak een lijstje van alle risico's en neem de bijpassende maatregelen. Gebleken is dat de Risk Based aanpak faalt; je ziet altijd risico's over het hoofd omdat ze je voorstellingvermogen dan wel je kennis te boven gaan. Het is een heel gevaarlijke illusie om te denken dat ieder probleem te voorkomen is of af te dekken met een normenkader. Er is niets zo verstikkend als het uitsluiten van iedere eventualiteit, het afdekken van ieder mogelijk risico. En het werkt niet omdat je niet ieder risico kunt onderkennen. Wil auditing een effectieve rem vormen op riskant gedrag, dan is een betere aanpak nodig. Geen hardere, zoals nu gaat gebeuren.
Kenmerkend voor de Risk Based Approach is de wonderlijke vermenigvuldiging van regels - na iedere ronde blijken er nieuwe voorschriften bij te zijn gekomen, met een stijgende mate van bizarre bijwerkingen. Het voornaamste risico waartegen organisaties zich indekken is nu al het compliance risico in plaats van de risico's waar het allemaal om te doen was. Wat de crisis nu bewijst.
Nu is beveiliging van computersystemen van een andere ordegrootte dan het bewaken van de financiële integriteit van onze economie. Maar toch - de afhankelijkheid van computersystemen begint een grootte aan te nemen die echt bedreigend wordt. En we gebruiken dezelfde methodes als in de financiële wereld gebruikelijk zijn. We houden alleen rekening met risico's die we waarschijnlijk achten.
Als een volgende DNS Changer Trojan computers naar een nep-CRL in plaats van de echte bij Verisign leidt en een paar strategisch gekozen root-certificaten ongeldig verklaart, gaat er echt een heleboel stuk. Helemaal zodra we DNSSec ingevoerd hebben. Op een dergelijk scenario is vrijwel niemand voorbereid. Dit klinkt wellicht meer als een Tom Clancy scenario dan als een realistisch verhaal, maar ook bij computers is een volledige breuk denkbaar. En bovenstaande kan door een gemiddelde nerd op zijn zolderkamer in elkaar gezet worden. Wat overigens geen oproep is aan de lezers van deze site.
Wat de crisis ons bovenal leert is dat je soms het ondenkbare moet denken. Op dit moment is onze beveiliging gebaseerd op het voorkomen van bekende problemen en het verminderen van bekende risico's. Daarmee maken we dezelfde denkfout als de financiële wereld heeft gemaakt. Door het onverwachte tot onmogelijk te bestempelen nemen we enorme risico's. We hebben nog wel wat tijd om ons leven te beteren, maar niet veel. Een recessie zou maar zo kunnen beginnen met een probleem in het digitale domein. En als we pech hebben is dat de volgende keer al, in 2013 of zo.
Door Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -
Vorige columns van Peter
- Waar zijn de klokkenluiders?
- Onnodig DNA bewaren – mag niet, gebeurt toch
- Digitale Ongehoorzaamheid
- Exit - en dan?
- Rijkspas: Het blijft tobben met die chipkaarten
- Zet RBAC bij het grof vuil
- De nachtmerrie van security managers
- Outsourcing: Horen, Zien, Zwijgen?
- Certificeringen: Bewijzen van onvermogen
- Leuke speledingetjes
- Security volgens WC-Eend
-
Een triviaal bureautje in de periferie
- Koud onderzoek
- Wie Zwijgt Stemt Toe
- Een Lesje in Beveiliging
- Voortschrijdend Inzicht Mag Niet
- De Chinezen Komen Niet - Ze Zijn Er Al!
- Het anti-terrorismehoesje
- Niemand is de Baas
- Zin en Onzin
- This is Me
- Wat niet meet, wat niet deert
- De Chinezen komen, of niet natuurlijk (deel 2)
- Afscheid van het netwerk
- De Chinezen komen! Of niet, natuurlijk.
- Een kwakkelend dossier
- "Nederland is goed voorbereid"
- Headhunter incident
- Ethiek en Security
- De kleren van de keizer zijn dood, leve de nieuwe kleren van de keizer
- Over Security Architectuur
- Best Practices bestaan niet
- Unified Threat Management: dure mensen, goeie spullen?
- Security maturity
- Komt het nog wel goed
- Geen nieuws is goed nieuws
- Awareness best belangrijk
- Een papieren tijger in een zilveren lijstje
- Een goed idee is niet goed genoeg
- Uit de loopgraven
- Waarom beveiligingsbeleid faalt
- Groot slaat dood
Dat snap ik niet helemaal. Een CRL is gesigned door een vertrouwde uitgever. Een willekeurige CRL zal dus niet zomaar vertrouwd worden en zal dus ook niet een root certificaat intrekken. In in principe zou die Trojan aan root certificaat kunnen toevoegen die dan weer die CRL signed maar waarom zo moeilijk, die Tojan heeft toch al controle over het systeem.
Of, bedoel je dat door de gevonde MD5 certificaat vulnerability dat je dan een CRL kan maken die gesigned lijkt te zijn door Verisign maar dat niet is?
Hoe stelt de schrijver van dit stuk zich dit voor?
0% kan ik nog accepteren, zowel voor spaarders als leners.
Maar een negatieve rente:
Dat betenkt dat je als lener geld toekrijgt (onwaarschijnlijk), en als spaarder moet betalen (hoe dom kun je zijn, het is geen kluisje).
Ik lees dat dhr. Peter Rietveld Senior Security consultant is.
Maar heeft hij ook een opleiding gevolgd waarin financien of economie centraal staan.
Zijn voorspellingen worden namelijk niet onderbouwd door feiten.
Ik kan ook voorspellen:
De volgende zeepbel die doorgeprikt wordt is de Obligatiebel. Beginnende in Amerika (of misschien wel Europa).
De reden. Ale het geld dat overheden nu in het financiele systeem stoppen om het overeind te houden, wordt gefinancieerd door waardepapieren: Staatsobligaties. Hoe meer er op de markt komen, hoe minder ze waard worden. Vooral als een land tot de conclusie komt dat hij de rente niet meer kan betalen.
En wat gaat er dan gebeuren: Nationalisaties? Het niet langer erkennen door de staat van uitgegeven schuldpapier?
Wie zal het zeggen.
Mijn onderbouwing:
Die heb ik niet Net zoals dhr. Rietveld die niet heeft.
Alles is mogelijk. Vooral zolang we meer uitgeven dan dat we ontvangen.
Conclusie: zet de tering naar de nering.
Wat probeer je nu te zeggen eigenlijk? Verwacht het onmogelijke?
Een recessie zou maar zo kunnen beginnen met een probleem in het digitale domein.
ff wakker worden de recessie is er al.
Het verschil van een x aantal procenten tussen de lening bij de centrale bank en het uitlenen aan een klant, is de winst voor een bank. Als dit verschil niet de kosten en risico's dekt, zal een bank het ook niet uitlenen, tenzij ze een extra vergoeding krijgen van de centrale banken. Wij, die het weer lenen van de bank, moeten nog steeds een positief percentage betalen.
De vergelijking tussen de IT sector en de bank sector vind ik niet geheel terecht. Het financiële systeem is in zijn geheel gebaseerd op hebberigheid. We willen een auto, televisie, wasmachine etc. waardoor we automatisch moeten deelnemen in dit systeem. De emoties die komen kijken bij dit spelletje van "pakken wat je pakken kan" verblind de meeste voor potentiële problemen. We weten hoe de waarde van geld en hoe dat werkt en zolang het goed gaat, genieten we er met volle teugen van.
DNS, certificaten etc. is voor het merendeel gewoon niet te begrijpen. Ze weten wat het Internet kan, maar hoe het werkt is voor hun niet interessant. Werkt het niet, kijken we toch gewoon weer televisie. Geen email, bellen we toch gewoon. Hierdoor is het moeilijk, andere te overtuigen van potentiële toekomstige problemen op dit gebied. We kunnen ons ook alvast beschermen tegen groene mannetjes en ongetwijfeld dat sommige reeds een noodplan in het archief hebben liggen, maar zijn we bereidt geld te steken in wat mogelijk nooit gaat komen?
De mens is een flexibel dier en is hierdoor ook heer en meester geworden van deze planeet. Problemen zijn een uitdaging om opgelost te worden en zullen uiteindelijk opgelost worden. Dit neemt echter niet weg dat ik van mening ben dat je niet alles moet digitaliseren, want systemen kunnen altijd kapot. Maar goed, zoals altijd, pas als het kalf verdronken is, dempt men de put.... we zullen zien.
Een erg vage dooddoener. Klinkt als een cliché.
Dat snap ik niet helemaal. Een CRL is gesigned door een vertrouwde uitgever. Een willekeurige CRL zal dus niet zomaar vertrouwd worden en zal dus ook niet een root certificaat intrekken. In in principe zou die Trojan aan root certificaat kunnen toevoegen die dan weer die CRL signed maar waarom zo moeilijk, die Tojan heeft toch al controle over het systeem.
Of, bedoel je dat door de gevonde MD5 certificaat vulnerability dat je dan een CRL kan maken die gesigned lijkt te zijn door Verisign maar dat niet is?
Als je kijkt hoe snel Conflickter om zich heen grijpt, zou een wereldwijde chaos helemaal niet zo ondenkbaar zijn.
Zeker als je nagaat wat er in de laatste paar maanden duidelijk is geworden wat betreft zwakheden de digitale wereld. Bijvoorbeeld het DNS lek van Kaminsky, wat nog steeds exploitable is als je maar genoeg PC's inzet. En het met MD5 signeren van certificaten is gewoon lek zolang er nog ergens MD5-gesigneerde certificaten geaccepteerd worden.
Kortom de schrijver van deze column heeft zeker wel een punt dat we een veel grotere kans hebben op totale chaos dan we ons zelf willen toegeven en dat we niet alleen in de financiele wereld veel te grote risico's nemen en onszelf op de borst kloppen.
De schrijver heeft het over een DNS-changer Trojan. Als er trojans in het spel zijn, kun je volgens mij niet meer spreken van vertrouwen, ongeacht hoeveel "vertrouwde certificaten" je er ook tegenaan gooit.
Maar daarom schreef ik ook "maar waarom zo moeilijk, die Tojan heeft toch al controle over het systeem.". Ik bedoel dus dat als je systeem al is overgenomen door een Trojan dan is een discussie over andere zwakheden overbodig aangezien je systeem al volledig niet meer te vertrouwen is.
Daarom zou de regering in plaats van maandelijks sirenes te laten loeien, beter eens per jaar een "ongeluksdag" kunnen organiseren, waarop verschillende diensten onverwachts urenlang uitvallen. Dat zou ons scherp houden. We zouden gaan nadenken over wat-als, voorraadjes aanleggen, fietsen aanschaffen, bedenken hoe we het uren in de kou zouden kunnen uithouden en dergelijke. Net als vroeger, ja. Net als de kredietcrisis kan dat vroeger namelijk ineens voor de deur staan.
Doemdenken? Nou, een tijd geleden is er een experiment gedaan door de economische analysemodellen toe te passen op de situatie sinds 1900, en het resultaat te vergelijken met waar we nu staan. De meest pessimistische voorspelling bleek nog te optimistisch. Ik bedoel maar.
Wat ik uit het stukje van Peter haal is zijn nadruk op het feit dat het onmogelijk is om kansen in te schatten. Hoe onwaarschijnlijk ook, het lijkt toch te kunnen gebeuren, is wat hij aanvoert.
Als je Risico beschouwt als Kans x Impact (Let wel, ik zeg niet dat ik achter die formule sta, maar iedereen heeft het er altijd over) en het element "Kans" daarin is niet meer betrouwbaar, dan heeft het misschien wél zin om naar het element "Impact" te kijken.
En daar waar je ziet dat áls een probleem voor zou komen, hoe onwaarschijnljik ook, en de impact is hoog, dat je dan toch maar impact beperkende maatregelen zou moeten treffen.
Caroline
Of past deze Senior Security "security through obscurity" tot in het oneindige toe in zijn dagelijkse werkzaamheden en kan hierdoor helaas niets meer helder formuleren?
Groeten,
Hopsa
Een erg vage dooddoener. Klinkt als een cliché.
Is geen dooddoener; is een feit!
De mens is een flexibel dier en is hierdoor ook heer en meester geworden van deze planeet.
Nou..., er hoeven maar een paar mensen te roepen dat de gemiddelde temperatuur stijgt en dan staat Leiden onder water, ehhh..., is Leiden in last. Heer en Meester is mi een illusie.
Of past deze Senior Security "security through obscurity" tot in het oneindige toe in zijn dagelijkse werkzaamheden en kan hierdoor helaas niets meer helder formuleren?
Groeten,
Hopsa
Met alle respect: de obscurity zit mi meer bij Hopsa, dan bij de in het algemeen zeer heldere en duidelijke verhalen van Peter. Ignorance is also obscurity.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
