Nieuws
image

Microsoft topman hekelt bangmakerij IT-beveiligers

zondag 8 april 2012, 09:42 door Redactie, 4 reacties

Om security beter op de zakelijke en politieke agenda te krijgen, moet worden gestopt met het bang maken van mensen en het gebruik van militaire termen zoals cyberwapens. Veel politici en bestuurders die over regels en beleid beslissen snappen weinig van technologie en nog minder van security, stelt Roger Halbheer, Chief Security Advisor van Microsoft. "Als security professional zijn we niet gewend om onze boodschap en het werk dat we doen te vereenvoudigen. We zijn niet gewend om cybersecurity aan mensen uit te leggen die met technologie in het algemeen al moeite hebben."

Daar komt bij dat zowel politici als bedrijven militaire termen gebruiken, zoals cyberwapens. Daardoor denken politici om dezelfde regels en wetgeving die geldt voor de verspreiding van wapens ook voor technologie in te stellen. Hetzelfde geldt voor defensie. "Het leger is gewend om 'terug te schieten'", merkt Halbheer op. Hij heeft regelmatig discussies met politici en niet-technische mensen voor wie het moeilijke te begrijpen valt dat het zeer lastig is om te bepalen wie er technisch gezien achter de aanval zit. Laat staan wie er politiek gezien verantwoordelijk is.

Bangmakerij
Halbheer pleit voor twee veranderingen. Ten eerste moeten commerciële beveiligingsbedrijven stoppen met het bang maken van potentiële klanten. Volgens de beveiligingschef komt het vaak voor dat aanbieders eerst allerlei doemscenario's verspreiden, om vervolgens hun eigen product als oplossing te promoten. "Voor mij gaat het om onderwijs, in plaats van angst. Het gaat erom dat je mensen laat zien dat het internet niet van de echte wereld verschilt."

Criminelen gebruiken nieuwe technologieën om "oude" misdrijven te plegen, met de uitzondering dat criminelen niet meer fysiek ter plekke hoeven te zijn, merkt de topman op. "Als gemeenschap moeten we onze manier van praten veranderen. We moeten de boodschap vereenvoudigen, zodat niet-security mensen een beter gevoel voor de echte risico's krijgen."

Het tweede punt dat moet veranderen is het gebruik van militaire termen. "Analogieën uit de militaire wereld werken niet. Ik ben dol op analogieën, maar alleen als ze werken. Hier falen ze. Het is nog erger, ze leiden tot de verkeerde conclusies. Ik heb politici gehoord die cyberwapens willen reguleren. Hoe wil je een verzameling van regels code reguleren?", aldus Halbheer.

Reacties (4)
08-04-2012, 15:17 door Anoniem
Het probleem is de juiste mindset bij de beslissingsmakers te krijgen. En wat de juiste mindset is, is per beinvloeder anders. Voor een verkoper van beveiligingsoplossing is het creeren van angst en daar vervolgens een oplossing voor bieden natuurlijk ontzettend effectief want het verhoogd de omzet. Ze zullen daar dus echt niet mee stoppen.
Voor een onafhankelijke adviseur is angst zaaien niet effectief. Die zal objectief risico's in kaart moeten brengen en de kans daar op en schade bij optreden helder moeten krijgen. Aan de hand daarvan kan dan gekeken worden wat reeele inesteringen zijn om de risico's te beperken. Helaas is een dergelijk advies vaak uitgebreid en is de huidige management stijl er van de TLDR;. Die willen een kort antwoord op de vraag "zijn wij veilig" en eventeel het vervolg "wat kost het om ons veilig te maken". Omdat absolute veiligheid niet bestaat is het antwoord eigenlijk altijd "nee" en "dat is onbetaalbaar en niet werkbaar". De beslissingsmakers zouden eigenlijk voor dat ze advies vragen moeten bepalen wat "veilig genoeg" is en welk budget ze daar voor over hebben. Vooral die eerste vraag kunnen ze meestal niet beantwoorden.
Het stellen dat het internet niet van de echte wereld verschilt is net zo een misleiding als het gebruik van militaire termen. In de echte wereld "zie" je bezoekers en zijn ze geografisch beperkt. Met internet staan er miljarden mensen op je virtuele stoep. En als iemand iets steelt van een netwerk is het origineel niet verdwenen. Ook zijn de doelen van aanvallers anders, met de enige overeenkomst dat het achterliggende motief vaak gelijk is: geld bemachtigen.
08-04-2012, 17:31 door Anoniem
Idd, stof tot nadenken waar iedereen wel weer zijn/haar mening zal over hebben.
Verder denk ik dat de man in kwestie in grote lijnen wel gelijk heeft.
10-04-2012, 11:44 door Anoniem
Hoe wil je een verzameling van code regels reguleren, simpel, import/export restricties, patenten, wetgeving.

Betere vraag is : is het nodig om code regels te reguleren. Mijn antwoord is in ieder geval NEE.
Dank goed na, wie varen er wel bij wanneer hierboven genoemde zaken worden uitgevoerd. Natuurlijk diegene die op deze manier veel geld wil verdienen.

Maak er een maatschappelijke kwestie van, ETHIEK. En die is morgen weer anders, dank daar maar eens over na.
12-07-2012, 22:35 door Anoniem
Een paar steekwoorden, commen sense en ga met beveiliging in mind te werk bij het ontwikkelen van software en hardware. Iets waar Mircosoft nog wel iets aan kan doen met bv. Bitlocker en Internet Explorer in het achterhoofd.

Schoenmaker hou het bij je leest en bij Microsoft is dat niet beveliging maar ik zal wel weer mensen bangmaken...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure