Security blijft een heikel punt in it. In een geanimeerd debat op NetEvents brachten enkele security-specialisten de pijnpunten (nogmaals) naar boven.

“Er verandert niet echt iets in de sector. We hebben vandaag meer bandbreedte, meer middelen en mogelijkheden, maar we maken nog steeds dezelfde fouten,” steekt Jan Guldentops van Better Access van wal. “Er is maar één echt securityproduct en dat is gezond verstand. Bedrijven besteden beveiliging vaak uit aan een consultant, maar ook de cio moet beseffen wat er gaande is.”

Steve Broadhead van Broadband Testing volgt Guldentops, maar weet het meteen wat kleurrijker samen te vatten en schaamt zich niet om dat vast te hangen aan een buzzterm. “Eigenlijk hebben we CSaaS nodig. Common Sense as a Service.”

Tijdens het debat komt onder meer de hack bij het Amerikaanse Home Depot en de Nederlandse certificatenmaker Diginotar aan bod. Voorbeelden van een enorme retailer, en dus in het bezit van kredietkaartgegevens, en een bedrijf dat net garant moet staan voor beveiliging. Zulke cowboyverhalen zijn volgens Guldentops nog steeds eerder regel dan uitzondering. “Vaak zijn bedrijven die het arrogantst roepen over beveiliging degenen met de grootste gaten achter de schermen. Bij Diginotar waren het bijvoorbeeld slechte wachtwoorden.” Ook Broadhead en Jordy Gascon van CA volgen die redenering.

Van een debat is niet echt sprake omdat het trio het doorgaans eens is met elkaar. Maar het is met momenten entertainend om te zien hoe ze benadrukken dat bedrijven het belang van beveiliging nog steeds niet snappen, wat het debat doet verschuiven naar de menselijke factor. “Ik argumenteer al sinds de jaren negentig over automatisering van beveiliging. Dat wordt vaak vreemd bekeken maar anno 2014 zijn er nog steeds meer menselijke dan geautomatiseerde fouten.” “Maar als je een vergissing maakt bij iets wat geautomatiseerd is, dan wordt het probleem nog groter”, nuanceert Gascon.

Ook de manier waarop bedrijven omgaan met beveiligingsproblemen naar het publiek toe blijft een werkpunt volgens het panel. “De vraag is niet of je wordt gehackt, maar wanneer het gebeurt”, zegt Guldentops. “Gekraakt worden is geen schande, maar wat je er nadien mee aanvangt kan dat wel zijn. De meest bedrijven proberen een beveiligingsprobleem zo snel mogelijk te patchen en nadien te verzwijgen. Dat is gewoonweg fout. Je moet er net mee naar buitenkomen en het documenteren.”

Broadhead vergelijkt het met een inbraak in je huis. “Diefstal kost je ook geld en veroorzaakt ongemak, maar je gaat nadien door met je leven. Sommigen raken in paniek en willen alles omgooien, terwijl ze vooral moeten nadenken welke strategie ze moeten veranderen.”

Ook technologiebedrijven zelf zijn volgens het panel vaak te laks. “Net omdat daar technologiefanaten of kenners zitten, gaan ze betrouwbare systemen vaak omzeilen”, zegt Gascon. Guldentops bevestigt dat. “Ik heb ook al beveiligingsfouten gemaakt, niemand ontsnapt er aan.” “Maar je mag dezelfde fout geen twee keer maken”, vullen de drie bijna in koor aan.

Wat gebeurt er tot slot wanneer een bedrijf moet besparen. Blijft beveiliging de heilige graal, of sneuvelt het bij de eerste hakbeurt? “Doorgaans is dat het tweede waarop bedrijven besparen, na opleidingen”, zegt Gascon. “We hebben een slechte cultuur van niet te beseffen wat de risico’s zijn. We hebben een vals gevoel van veiligheid wat wil zeggen dat er voor mensen als wij nog veel evangelisatie moet gebeuren.”

“Zelfs de NSA is onvoldoende beveiligd, want blijkbaar was het voor een externe medewerker wel mogelijk om met zoveel geheime informatie aan de slag te gaan,” besluit Guldentops.

Pieterjan Van Leemputten