Vals gevoel van veiligheid

Ik ben geen security-expert maar heb de laatste tijd namens wat organisaties bij presentaties gezet van security-bedrijven. Wat me daarbij opviel is dat de computer security-industrie geobsedeerd lijkt door hackers en inbraken.

Hoewel zulke zaken erg slecht nieuws kunnen zijn - kijk maar naar de recente lekken bij Sony's Playstation-netwerk - lijken we daardoor te vergeten dat er niet alleen mensen zijn die inbreken, maar ook mensen die met spullen naar buiten lopen.

Afluisterapparatuur

Het is vandaag de dag steeds minder interessant voor een slechterik om afluisterapparatuur te plaatsen in de directiekamer. Hij kan immers ook een werknemer omkopen om tegen een beperkte betaling gigabytes aan informatie over te dragen. Alle bedrijven zijn kwetsbaar voor mensen die zonder probleem naar binnen en buiten kunnen lopen.

Dat gebeurde natuurlijk al lang voor de komst van pc's en internet - toen werknemers naar buiten liepen met spullen uit het magazijn - maar het is nu wel een stuk makkelijker geworden.

Wikileaks

Werknemers kunnen met mp3-spelers met 60GB opslag naar binnen lopen en binnen een paar seconden informatie over miljoenen klanten downloaden terwijl ze ondertussen naar 'I shot the sheriff' of de 'Ballad of Bonnie and Clyde' luisteren.

Wikileaks werd niet mogelijk gemaakt door een leger van exterene hackers maar door een interne werknemer. Ik vrees dat we hier zo weinig van horen van security-spelers omdat het weliswaar veel voorkomt, maar nauwelijks te voorkomen is.

Endpoint protection

Recent zijn verscheidene security-bedrijven begonnen met het pluggen van endpoint protection of data leak prevention (DLP). Het idee daarachter is een soort slot op elk endpoint.

De theorie, die op het eerste gezicht redelijk lijkt, is om op elk raam en op elke deur een slot aan te brengen. Maar we worden gevraagd om dit te doen voor een complete stad. Een stad bovendien waar gebouwen snel worden gebouwd en afgebroken, soms zelfs zonder ene bouwvergunning. Want dat is natuurlijk de realiteit in de moderne IT-infrastructuur.

Om de analogie verder door te trekken: dit is als vragen om het fouilleren van elke OV-passagier op elk station. Bovendien moeten we weten waarnaar we zoeken. In de praktijk zou dit gewoon betekenen dat de stad tot stilstand zou komen.

Omzeilen

Als security-maatregelen te streng worden beginnen mensen manieren te zoeken om ze te omzeilen - anders kunnen ze hun werkn niet meer doen. Op die manier wordt het doel ondergraven.

Het idee om elke deur en elk raam met hang en sluitwerk te beveiligen leidt tot een vals gevoel van veligheud.