Early in the afternoon on Friday, May, 3, I asked a friend to relay a message to his security contact at CCH, the cloud-based tax division of the global information services firm Wolters Kluwer in the Netherlands. The message was that the same file directories containing new versions of CCH’s software were open and writable by any anonymous user, and that there were suspicious files in those directories indicating some user(s) abused that access.

Door Anoniem: Boekhoudsoftware, waar heb ik dat eerder gezien?

Door Anoniem: Daarom dus geen SaaS. Dat maakt je bedrijf afhankelijk van derden (verkoper, beschikbaarheid hoster, internet) en er is vendor lockin. Ik dacht dat wel dat in de jaren 80 al geleerd hadden toen elke fabrikant zijn eigen processor en systeempje naar binnen wilde rijden, maar nee: alles moet vooral niet binnen eigen bedrijf en eigen beheer gebeuren.

Door Anoniem: Daarom dus geen SaaS. Dat maakt je bedrijf afhankelijk van derden (verkoper, beschikbaarheid hoster, internet) en er is vendor lockin. Ik dacht dat wel dat in de jaren 80 al geleerd hadden toen elke fabrikant zijn eigen processor en systeempje naar binnen wilde rijden, maar nee: alles moet vooral niet binnen eigen bedrijf en eigen beheer gebeuren.

Door Anoniem: Dat hebben we dus duidelijk niet geleerd: We hebben een gigantische monocultuur met hardware van één fabrikant (en een second source die ook nog net even mee mag doen) en software van één fabrikant.

We waren veel beter af geweest met een markt voor een half dozijn hardware-architecturen en minstens net zoveel software stacks die allemaal anders waren maar wel wisten hoe ze netjes data moesten uitwisselen. Dat weten "we" nu ook niet, gezien het aantal emailtjes vol met dataformaten die volstrekt [x] ongeschikt zijn voor "data-uitwisselen".


Persoonlijk denk ik dat ik met een tekstbestandje, ledger-cli, en wat scripting best een eind zou komen. De meeste boekhouders weten vooral de weg door donkere regeltjesbossen, maar zijn niet zo sterk in het zien van de essentie en dus wat ze nodig hebben laat staan dat ze zelf zoiets kunnen bouwen uit wat handige bouwstenen. En aangezien administratie toch maar als kostenpost wordt gezien is het tegenwoordig mode om dat maar zoveel mogelijk uit te besteden. Dat andere hype-vehikel, 'SaaS in de Cloud', past daar goed bij natuurlijk. Gewoon een paar euro in de maand aan lopende kosten en probleem opgelost. Totdat de leverancier net zo'n incompetente rukker als alle andere blijkt en de "cloud"-infrastructuur van extreem malware gevoelige prutssoftware aanelkaar blijkt te hangen. Tsja.

Een ander voorbeeld van die mode tot uitbesteden is payroll-bedrijfjes, overigens. Die de werknemer ongevraagd opzadelen met brakke websites waar je zelf je loonstrookje mag ophalen (wat mij dus extra werk kost en wat mij betreft niet aan de wettelijke eis voldoet al snapt de overheid dat detail zelf niet eens, zie mijnoverheid). Heb er nog geeneen gezien die loonstrookjes per gpg-versleutelde email naar een door mij gespecificeerd emailadres kan sturen. Kennelijk zijn die experts van de payroll-webite-leverende bedrijfjes toch niet zo expert. Maar alweer: Gewoon maandelijks wat geld naar een extern bedrijfje en je HR-probleem is ook weer afgevinkt. Nouja, dat denkt de baas dan.

Door Anoniem: Daarom dus geen SaaS. Dat maakt je bedrijf afhankelijk van derden (verkoper, beschikbaarheid hoster, internet) en er is vendor lockin. Ik dacht dat wel dat in de jaren 80 al geleerd hadden toen elke fabrikant zijn eigen processor en systeempje naar binnen wilde rijden, maar nee: alles moet vooral niet binnen eigen bedrijf en eigen beheer gebeuren.