Beroepsziekte nummer één onder IT'ers: cynisme
30-05-2014
Laten we eens niet kijken naar alles wat kapot is met een blik van: "het is allemaal brak", maar juist met: "hoe maken we dit beter?"
Vorig jaar sprak ik op een RSA-congres Rapid7's Jen Ellis en één ding is me vooral bijgebleven en dat is dat het heel verleidelijk is om cynisch te worden in de beveiligingsindustrie. Dat merk ik als IT'er en stukjesschrijver zelf ook heel erg. Omdat je zo focust op hacks, cybercriminaliteit, intrusion prevention en meer, krijg je last van een soort tunnelvisie waardoor je alleen nog maar gaten ziet. Vergeet RSI, cynisme is beroepsziekte nummer één bij IT'ers.
IoT: mogelijkheden én risico's
Op Hack in the Box hoor je het steeds maar weer: ga niet bij de pakken neerzitten. HackerOne's Katie Moussouris is bijvoorbeeld erg positief over de toekomst van IoT, dat ze een term vindt die binnenkort overbodig is, omdat het vanzelfsprekend wordt om dingen te verbinden. "We hebben straks alle historische kennis van de mensheid in onze broekzak."
Dat neemt niet weg dat beveiligers moeten blijven hameren op security by design. "Natúúrlijk is je slimme meter kwetsbaar als je een apparaat neemt en daar een internetverbinding aanhangt", vertelt IOActive's CEO Jennifer Steffens. IBM's CSO Kristin Lovejoy: "We moeten IoT-issues blootleggen om ze te verbeteren. We zitten met oud spul te kijken dat nu opeens meer moet doen", zegt ze en haalt als voorbeeld een feature aan van thuisdialyse-apparaten.
No winning move
Dus ja, uiteraard moet er stevig aan de bak gegaan worden. Steffens haalt als voorbeeld de sector automobile aan, waar je met een technisch verhaal niet veel impact maakt. "Pas toen consumenten op de Today Show zagen hoe auto's van de weg raakten, stapten klanten naar de dealer met vragen over security-features. Dan voer je pas de druk op om te veranderen." Ze stelt dat sommige mogelijkheden, zoals het hacken van satelliet-verbindingen, simpelweg angstaanjagend zijn.
Steffens: "In War Games zit een mooie scène op het eind waarin de computer beseft dat boter-kaas-en-eieren niet te winnen is." Dat vergelijkt ze met het pessimisme waar we mee te maken krijgen. "Maar wat doet de computer? Hij gaat liever schaken. Dat is min of meer wat wij moeten doen: als het spel je niet bevalt, verander het dan."
Bouw betere toekomst
Ik heb de afgelopen dagen op Hack in the Box een paar pijnlijke voorbeelden gezien van dingen die op een fundamenteel niveau kapot zijn en waar aan moet worden gewerkt. Daar word je inderdaad niet zo vrolijk van, vooral als je beseft met de gigantische legacy-problemen waar we tussen 2020 en 2030 mee te maken krijgen.
Maar alsjeblieft, niet zo cynisch, zegt ook PGP-vader Phil Zimmerman. "Daar help je niemand mee", vertelt hij toehoorders op de Haxpo, de gratis toegankelijke expositie die dit jaar voor het eerst bij Hack in the Box wordt gehouden. "We moeten een telco als KPN juist stimuleren met het in de markt zetten van een apparaat als Blackphone. De hele sector kijkt mee of er geld te verdienen valt aan échte privacy."
"Je moet niet alleen slecht gedrag afstraffen, maar juist goed gedrag belonen", vindt Zimmerman. "Pas dan zorg je voor echte verandering: door de markt te veranderen. De beste manier om de toekomst te voorspellen is door hem zelf te bouwen." Mooie boodschappen om te onthouden als we volgende week weer terneergeslagen achter de computer kruipen.
ComputerWorld  Henk-Jan Buist