Column: Proven technology
Vroeger was informatiebeveiliging goed te doen. Je had binnen, daar stonden je servers en daar zaten je gebruikers. En je had buiten, daar zaten je klanten. Dat waren subjecten in een informatiesysteem, waar alleen je eigen gebruikers bij konden. Beveiligen was zorgen dat er alleen mensen binnen konden die je vertrouwde. De erfenis hiervan zie je nog in de vorm van wachtposten aan de deur en screening van personeel. Nu zijn de wachtposten bij de deur er alleen nog om je tegen fysieke diefstal te beveiligen, vroeger was het een belangrijke (vaak zelfs de belangrijkste en ook de enige) voorziening van informatiebeveiliging. Dat noemen we het kokosnootmodel, hard van buiten en zonder structuur van binnen. Iedere organisatie wist zich veilig verschanst achter de fysieke muren.
Je mag het eigenlijk niet zeggen, maar vroeger was beveiliging dus echt slechter. Toen ik midden jaren ’90 in dit vak begon was de voornaamste taak van de beveiligingsafdeling van de bank het geheimhouden van het telefoonnummer van de modempool. En als dat nummer uitlekte, dan, eh, ja, wat dan eigenlijk? We zouden een inbraak waarschijnlijk pas gemerkt hebben als de telefoonrekening absurd hoog werd. Stel dat we naar de rekeningen hadden gekeken.
Dat was vroeger, en het inzicht dat dit achterhaald is, is gemeengoed; waarom zou je daar een column aan wijden? De case is immers toch duidelijk gemaakt met het Jericho project rond 2006. Een goed gevonden beeld; de fysieke muren zijn inderdaad omgevallen. Het punt is echter dat dit niet het einde van deze geschiedenis is. Wat komt er ná het vallen van de muren? In 2006 hadden we nog geen Bring Your Own Device (BYOD), de Cloud moest nog uitgevonden worden en over de Smartphone gingen alleen nog maar geruchten. Dit zijn allemaal zaken die ons sindsdien vanuit de business overvallen hebben, en die we niet kunnen negeren, hoe graag we dat ook willen. Moeten we nu het wiel met bloedspoed gaan uitvinden?
Ja, dat moet.
Gelukkig zijn er waardevolle bouwstenen beschikbaar, de meesten al jaren. De grootste schatten zitten verstopt in het Claims Based gebeuren, de WS-Security hoek en bij XRML. Deze laatste kennen de meesten van ons wellicht beter als WRM, het MS Office broertje van Digital Rights Management.
Helaas zijn deze middelen onder het hoogst irritante adagium ‘proven technology’ vrijwel overal buiten de deur gehouden. En nu kunnen we er niets mee omdat we de kennis er niet voor hebben. De grootste gotspe van de Security is wel dat proven technology hier óók als valide argument wordt beschouwd.
Voor de mensen die het niet kennen: proven technology wil zeggen dat we dingen pas inzetten als ze zich een paar jaar bewezen hebben bij anderen. In de praktijk is proven technology vooral een eufemisme voor ouwe troep. Een excuus voor conservatisme, van mensen die de veranderingen bijhouden blijkbaar te veel moeite vinden. Het principe is vooral populair bij IT-managers in grote organisaties, banken en ministeries voorop.
Met de eis voor proven technology zeg je dat het nieuwe nog niet bewezen is. Dat is natuurlijk ook zo. Maar je impliceert ook dat het oude zich wél bewezen heeft. Dat is in de ICT Security hoogst zelden het geval. Maar al te vaak is proven technology een excuus om iets niet te doen; immers als je iets doet, dan krijg je weer van die ICT projecten. En die mislukken. Vandaar deze reflex bij IT managers. Begrijpelijk, maar verkeerd.
De mens is van nature geneigd om te stellen dat het vroeger beter was. Dat hebben we allemaal; ook auditoren kijken minder kritisch naar proven technology dan naar onbekende zaken. Dat bleek overduidelijk bij het Deepwater Horizon olielek van BP. Deze tunnelvisie is zeer bepalend van onze waardering van beveiliging. Het begrip proven technology is dus het perfecte voorbeeld van hoe contraproductief een selectief geheugen werkt. Vroeger was het niet beter, we hadden alleen minder zicht op hoe slecht het allemaal was; dat is de prijs van meer kennis en inzicht.
Een kleine vertaling naar de dagelijkse IT-werkelijkheid. Wat is de levensduur van computersystemen? Vijf jaar. Wanneer is iets proven technology? Na drie jaar elders in gebruik. Hoe snel kunnen we iets nieuws invoeren? In ongeveer twee jaar, en omdat vrijwel iedereen eerst op iedereen zit te wachten beginnen de eerste implementaties na vier jaar, en is de grote massa na negen jaar in productie. Inderdaad: Windows XP.
En dan nog een kleine vertaling naar best practices. Waar ontstaan best practices? Bij grote organisaties. Hoe voorop lopen die? Niet bijster, meestal lopen ze een paar jaar achter op cutting edge. Zeg vijf jaar. Hoe lang duurt het voor een best practice vertaald is naar een bestaand normenkader? Drie jaar? Hoe lang doen we er over om een nieuwe versie van een normenkader in te voeren? Vijf jaar? Door de lengte van deze keten is de gemiddelde ‘best practice’ een oplossing van een 13 jaar oud vraagstuk. Inderdaad: ITIL v3.
Organisaties die kiezen voor proven technology, kiezen dus gewoon voor slechter.
Het concept proven technology komt uit de bouw. In die wereld is het een prima concept: zwaartekracht, torsie, baksteen en beton veranderen niet, en wat er verandert in materialen gaat meestal langzaam. Maar wat in het ene domein een wet van Meden en Perzen is, hoeft dat in een heel ander domein niet te zijn. Zo heeft IT beveiliging meer overeenkomsten met het militaire bedrijf (je wordt aangevallen) dan met de constructie van huizen (het regent).
In het militaire bedrijf is bewezen dat unproven technology soms onmisbaar is; onderzeeboten tot 1950 waren onbetrouwbare doodskisten, vliegtuigen tot 1940 ook – en toch bepaalden ze de uitkomst van de Tweede Wereldoorlog. Als slotakkoord van die oorlog had je dan nog de ultieme unproven technology: de atoombom.
Een goed beginpunt voor hoe militairen denken over proven technology zijn de Technology Readiness Levels waarmee de inzetbaarheid van technologie wordt geclassificeerd. Daar kunnen wij een boel van leren. Zelfs het hoogste niveau, 9, is veel eerder bereikt dan het ongrijpbare ‘proven technology’ zoals wij dat dagelijks gebruiken. Een dergelijke formalisering van wat ‘proven’ dan wel ‘unproven’ is had er in de IT Security al lang moeten zijn. Maar dit soort volwassenheid hebben we na ruim 25 jaar professionele beveiliging blijkbaar nog steeds niet bereikt.
Door Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -
Laatste 10 columns
Meer columns van Peter Rietveld.
Wanneer je moet kiezen voor een technologie die zich nog niet bewezen heeft, zet je je persoonlijke reputatie op het spel en als het fout gaat, heb je ook de verantwoordelijkheid te nemen zonder dit af te kunnen schuiven.
Met andere woorden: wanneer je kiest voor de technologisch beste oplossing die nog niet proven is, moet je zowel begrijpen wat het probleem is, maar ook begrijpen wat technologie als oplossing te bieden heeft. Met name de kennis en inzicht die nodig is voor het analyseren van (vernieuwende) technologie, is niet bij iedere manager/beslisser op dusdanig niveau aanwezig, dat aangedurfd wordt om hiervoor de nek uit te steken.
...maar ook dit is slechts een mening ;)
Toch even bemerken dat bij kleine en zelfs middelgrote ondernemingen IT security bepaald wordt door de budgetten (wat in principe niet zou mogen, maar toch is dit in de praktijk vaak zo). Aangezien dit niet als core business wordt beschouwd. Tot er op een dag iets voorvalt....
Het is relatief, zoals alles. Laat je je 'proven technology' varen, dan wandelt men op de oude manier naar buiten met de server onder de arm. Maar vergeet je om mee te gaan met je tijd, dan loopt men virtueel met de data naar buiten. Je moet je sowieso wapenen tegen bekende bedreigingen, maar wanneer dat geregeld is ben je niet klaar. Wanneer het een kwestie van overleven is, zoals met de duikboten, neem je de gok en kan dat prachtig uitpakken.
Maar het kan ook flink mis gaan. Denk aan de vrachtwagenchauffeurs die massaal de wegenkaarten weggooiden toen de GPS standaard werd. Alleen konden die dingen het verschil niet zien tussen zandwegen en verharde wegen en stond er niets over lage tunnels en meer van dien. Chaos was het resultaat.
Zeker in een professionele omgeving kun je niet bouwen (toch weer de bouw) op Beta spullen. Pas wanneer het aannemelijk is dat het toepasbaar is voor jouw situatie kun je de gok wagen.
Toch even bemerken dat bij kleine en zelfs middelgrote ondernemingen IT security bepaald wordt door de budgetten (wat in principe niet zou mogen, maar toch is dit in de praktijk vaak zo). Aangezien dit niet als core business wordt beschouwd. Tot er op een dag iets voorvalt....
Toch opvallend dat - zoals hier vaak opgemerkt - de beveiliging binnen die organisaties meestal dramatisch is. waar vind je nog IE 5.5? Inderdaad, bij een aantal grote banken in Nederland. Wie draaien er nog webservers op Win2k? Ook een paar banken. Wie gingen er off-line toen een default en self signed certficaat van WebSphere verliep? Ook weer van die banken grote organisaties.
Security moge een must zijn, dat is geen garantie dat ze goede resultaten boeken. Netzomin dat het spenderen van grote bedragen een garantie voor goede resultaten is.
Hopelijk krijgen de decision makers in de sector wat meer lef, daadkracht en visie. Zeker nu we zijn aanbeland in het tijdperk van de Cloud. Vermakelijke column waardoor je geprikkeld wordt om beveiling te zien door een nieuwe bril!
[...]
En dan nog een kleine vertaling naar best practices. Waar ontstaan best practices? Bij grote organisaties. Hoe voorop lopen die? Niet bijster, meestal lopen ze een paar jaar achter op cutting edge. Zeg vijf jaar. Hoe lang duurt het voor een best practice vertaald is naar een bestaand normenkader? Drie jaar? Hoe lang doen we er over om een nieuwe versie van een normenkader in te voeren? Vijf jaar? Door de lengte van deze keten is de gemiddelde ‘best practice’ een oplossing van een 13 jaar oud vraagstuk.
[...]
en
[...]
Als slotakkoord van die oorlog had je dan nog de ultieme unproven technology: de atoombom.
[...]
Dan kunnen we deze column maar beter overslaan.
Toch even bemerken dat bij kleine en zelfs middelgrote ondernemingen IT security bepaald wordt door de budgetten (wat in principe niet zou mogen, maar toch is dit in de praktijk vaak zo). Aangezien dit niet als core business wordt beschouwd. Tot er op een dag iets voorvalt....
Als dat allebei is gebeurd, heb je kans dat er wordt geïnvesteerd. Maar elke investering vraagt overtuigingskracht. En dat geldt zeker voor grote bedrijven...
[...]
En dan nog een kleine vertaling naar best practices. Waar ontstaan best practices? Bij grote organisaties. Hoe voorop lopen die? Niet bijster, meestal lopen ze een paar jaar achter op cutting edge. Zeg vijf jaar. Hoe lang duurt het voor een best practice vertaald is naar een bestaand normenkader? Drie jaar? Hoe lang doen we er over om een nieuwe versie van een normenkader in te voeren? Vijf jaar? Door de lengte van deze keten is de gemiddelde ‘best practice’ een oplossing van een 13 jaar oud vraagstuk.
[...]
en
[...]
Als slotakkoord van die oorlog had je dan nog de ultieme unproven technology: de atoombom.
[...]
Dan kunnen we deze column maar beter overslaan.
Je lult lekker, maar onderbouw nou eens waarom je dit onzin noemt? Om een voorbeeld te nemen: Wat de atoombom precies zou doen was inderdaad nog niet bekend voordat ze hem op Japan lieten vallen, lijkt mij een redelijk extreme vorm van unproven technology hoor.
Je lult lekker, maar onderbouw nou eens waarom je dit onzin noemt? Om een voorbeeld te nemen: Wat de atoombom precies zou doen was inderdaad nog niet bekend voordat ze hem op Japan lieten vallen, lijkt mij een redelijk extreme vorm van unproven technology hoor.
prachtig artikel en erg goed verwoord: zou bovenaan op de prikborden bij bedrijven moeten hangen.
Ik kan hier dan ook verder alsnog niets toevoegen. Je slaat de spijker op de kop.
Goed dat we in NL toch nog deskundige expertise hebben werken!
Wat ik van de week overigens las is ook nog een leuke toevoeging. Er waren signalen van goede experts, welke geen vaste baan bij bedrijven/instanties konden krijgen, omdat ze niet aan de formele eisen voldeden, maar wel al meer dan 10 jaren achter elkaar werden ingehuurd (bij eenzelfde bedrijf) om diegenen te ondersteunen met het verhelpen van problemen welke wel aan de gestelde eisen voldeden (goed communiceren in woord en geschrift, allrounder, jong en dynamisch, management capaciteit, 'papieren' 8-5' mentaliteit, collegiaal en ga maar door), maar deskundigheid qua inhoud....brrrr dat is inspiratie, werken, transpiratie en dat zijn vieze woorden in NL. Onze bevolking wil voor 100% manager zijn en niet uitvoerend bezig zijn: als de salarissen eens omgedraaid werden (managers hebben vaak minder kennis en kunde dan uitvoerenden) dan was dat binnen enkele jaren snel opgelost en werd NL weer een goed lopend machine en geen lege BV.
Dit getuigt veelal ook van onwetendheid, onkunde, vriendjespolitiek of zakkenvullers mentaliteit.
Ik denk dat LulSec en Wikileaks in de toekomst wel veel van de sluier definitief zullen oplichten, waarna het security gebeuren definitieve wendingen ten goede zal krijgen. Het is allemaal niet zo moeilijk als de mensen maar SAMEN werken en niet TEGEN, zeker op het gebied van security is dat funest. Criminelen kunnen dat juist als de besten en drukken ons met de neus daarop: daar zit het principiële probleem primair.
De meeste, niet of moeilijk oplosbare problemen, ontstaan m.i. ten gevolge van de menselijke tegenstrijdigheden welke niet primair de bedrijven ten goede komen maar wel de portemonnee van EGO's.
Leve de democratie.
Je lult lekker, maar onderbouw nou eens waarom je dit onzin noemt? Om een voorbeeld te nemen: Wat de atoombom precies zou doen was inderdaad nog niet bekend voordat ze hem op Japan lieten vallen, lijkt mij een redelijk extreme vorm van unproven technology hoor.
Als ik 'bewijs' dat iets in een testopstelling werkt, wil dat nog niet zeggen dat het in productie ook werkt.
Dat er tijdens WO 2 met het manhattan project flink aan de atoombom werd ONTWIKKELD lijkt me duidelijk. Nieuwe applicaties of technologiën worden toch ook jaren ontwikkeld voordat ze op de markt komen....
De eerste atoombom die op die grote school echt 'in productie' werd gelanceerd was wel degelijk unproven technology, niks stierenpoep!
Nu, waarom heeft MS dan nog steeds problemen met het uitfaseren van XP en Vista en vooral IE6? Een systeem is in mijn optiek een combinatie van hard- software, gebruik en... beheer! 4 elementen dus om een systeem te kunnen zijn. In de mainframe e mini wereld geldt deze propositie al helemaal niet: daar ligt de gebruiksduur van zo'n systeem soms- ver - boven de 20 jaar (Tandem TRIARCH anyone?, of wat ibmmetjes her en der?)
Omdat dat eerste al niet klopt, klopt het betoog ook slechts gedeeltelijk en in mijn ogen dus helemaal niet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
