Een aantal jaar geleden was ik bij een lezing waar ook meneer Gebrandy spreker en 2 collega euro-parlementariers waren uitgenodigd. Daar kwam een uitspraak van meneer Gerbrandy boven tafel dat hij nogal fan is/blind koerst op virusscanners.
Meneer Gerbrandy is daar achter de schermen wel subtiel voor getipt.
Dit terwijl toen ook al wel jaren bekend was en ruim in het nieuws was geweest dat de ongekroonde virusscanners - Norton Antivirus en McAfee - tegen al de wel gevonden en verwijderde virus detecties op computers in het nut van virusscanners (white hats, black hats, you name it) het sinds die bijeenkomst met meneer Gerbrandy en co juist harder af legt tegen de trends en het ontdekken en in stand houden van zero day's, nieuwe gaten et cetera.
VPRO's tegenlicht belichtte die langjarige trend ook.
Ze brachten in beeld hoe vooral de IT-veiligheid industrie en consultancy bureau's (Booz Allen Hamilton, bekend van Edward Snowden) zelf erbij floreren.
Nog opvallender, die tak van de IT weet de trend van toename kwetsbaarheden of gaat plaatsvinden maar niet structureel te keren.
Iets dat vanwege de technische mogelijkheden die worden geschapen juist ook niet vreemd zijn.
De meest stabiele jaren van data-veiligheid - met CDR's, een doorn in het oog destijds van de NSA - liggen alweer jaren achter ons.
Terwijl ze CDR's als fase in de IT-tijdeperken een dinosauriër zijn, zijn er geen substantieel betere maar eerder verergerende trends rondom de IT gelanceerd.
Vervolgens komt een directeur als Anjos Nijk van een platform met de volgende insteek:
.....antivirusprogramma .... regelmatig updates installeren
Wat is dit voor uitspraak?
Is zijn pleidooi get your basics right of iets dergelijks?
Weet Anjos Nijk dan dus niet, it's the hardware stupid!?
NXP en Infineon waarschuwden al ruim voor het prematuur lanceren van laadpaal systemen en teveel nut en heil van updates te verwachten.
Zeker omdat sommige ontwikkelaars van laadpaal systemen meer software georiënteerd waren en niet zeker lang niet allemaal de doorwrochtenheid van ontwikkelcurves voor failsafe-eisen niveau van auto toeleverancier industrie beheersen of snappen.
Een nadien tragisch voorbeeld van hoe de grotere afhankelijkheid van serie-gewijs updates in de product- & ontwikkel-keten zijn wel de Boeiing vliegtuigen die crashten.
Bovendien, de NSA en daaraan gelieerde diensten in andere landen zijn zo tuk op update systemen dat 2 diensten gezamenlijk een zeer zwaar beveiligde kerncentrale in Iran wisten te laten crashen.
De ingeregelde beveiligingmechanismen tegen oververhitting kon ondanks de beveiliging-lagen worden doorbroken.
Het punt hierbij is dat het aantal fysieke entry-points bij deze voorbeelden natuurlijk vele malen minder zijn, er zijn fysiek relatief nog weinig kerncentrales en vliegtuigen om de zwakke punten - onder de radar - mee te kunnen afscannen.
Maar met het aantal laadpalen kom je natuurlijk boven de miljoenen entry-points.
Vermenigvuldig dat bovendien ook nog eens met de mobiliteit factor als randomness die je aan de laad-sockets moet toedichten en je beseft dat de kans op hacks - hardware gewijs - vele vele vele malen groter is als je met update-eco systemen voor laadpalen gaat werken.
Dat Anjos Nijk dus pleit voor gebruik van antivirusprogramma's en updates installeren bij laadpalen illustreert dat die niet op de hoogte is of eigenwijzig voorbij denkt te kunnen gaan aan de waarschuwingen en de grotere trends vanuit de industrieën. Die maken dus antivirusprogramma's en updates installeren bij laadpalen een heilloze missie.
Dweilen met de kraan open tegen de strooom van veel grotere krachten in.
"waterdichte versleuteling voor laadpalen", waar Gerbrandy op leunt is dan ook een fabel.
Zeker als je bedenkt dat er altijd een hash-match plaats moet kunnen vinden.
Net zoals dat bij de zware beveiliging van de Iraanse kerncentrale die gehackt werd gaan laadpalen vanwege hun veel grotere distributie-aantallen het per definitie afleggen.
Er valt altijd wel een beveiliging laag te omzeilen, om te leiden, uit te zetten te overspoelen.
Zeker als je die laadpalen ook nog eens met smartphones wilt kunnen aansturen in plaats van volledig autonome hardware maak je de kans daarop enkel schaalgroottes groter, tegelijk de detectie-kans een stuk lager.
Naarmate complexiteit van een keten groter wordt middels meer apparaten (reken-nodes), tegelijk het 2e hands gebruik en doorlenen aan derden van smartphone (als 1 van de kwetsbare categorieën op internet) als ruim gangbaar te boek staat daalt de integriteit van de hele keten doordat de integriteit van al die reken-nodes ook daalt met het 2e hands gebruik van de apparaten.
Een meer verstandig advies zou dus zijn, gebruik voor laadpalen autonome hardware met autonome netwerken.
Dat was ook al het pleidooi van invloedrijke denkers en directeuren in de chip-industrie toen meneer Gerbrandy nog collega-politicus was in Brussel van Judith Sargentini.
Offer IT-security door middel autonome hardware en netwerken niet op omwille van tijd of kosten werd hem met klem gevraagd.
Nu kan meneer Gerbrandy dus vol aan de bak, moet ie wel eerst over stag willen en durven gaan als directeur.
Waarom?
Als je de kern - de hardware - niet eerst op orde maakt dan zijn de andere lagen eromheen altijd snel af te pellen.
Met hardware op orde ben je niet afhankelijk van snelle detectie.
Dan heb je een risico-beheersing raamwerk waar je verder mee kan.
En kijk helemaal uit met systemen als tesla thuis laad systemen breder te willen toepassen.
Ga voorlopig nu nog niet maatschappelijk bredere teruggave van accu-energie aan derden via IoT invoeren.
Dan schiet je jezelf al helemaal in je voet, als het IT veiligheid betreft.
Dat vanwege de exponentiële toename van nog weer meer entry- en pairing-points.
De beveiliging van IoT laat in veel gevallen bovendien ook in veel gevallen nog meer te wensen over dan bij smartphones.
Daar komen we als maatschappij dan ook niet meer vooruit.
Hierbij laat ik de electra-netten kant even aan de zij-lijn.
Daar valt nog van alles te wensen, indien het netbeheer toch meer politiek gedreven speelbal wordt in plaats van de echte middenlange termijn investering termijnen.
Dan gaat de wal het schip namelijk vanzelf al keren.
Alleen eindigen we dan wel waar we met z'n allen juist niet zeggen te willen belanden.