Bij zijn bezoek aan België laat Alcatel-Lucent’s Carlos Solari toch een hoopvolle boodschap over security na. Software en andere producten kunnen veilig zijn, mits daar van bij de aanvang wordt aan gewerkt. ‘Security by design’, op basis van standaarden en dat doorheen de hele ketting, zijn de basisprincipes.

Je zou als lezer al makkelijk wanhopig kunnen worden over hoe vaak wordt gehamerd op de noodzaak aan security. Laat staan hoe vaak wordt gewaarschuwd dat de securitytoestand nog zal verslechteren vooraleer er beterschap komt. Toch kunnen doemdenkers moed scheppen bij Carlos Solari, vice-president Quality Assurance, Security and Reliability bij Alcatel-Lucent. Evenals in zijn recent boek, “Security in a Web 2.0 world: a standards-based approach” (Wiley, 2009), betoogt hij tijdens het gesprek dat security “niet per se een technologisch probleem is. Er bestaan nu al zowel technologieën als methoden om de risico’s te beperken, maar” en dan komt de aap uit de mouw, “niemand gebruikt ze! Er is een gebrek aan discipline!”

De hele ketting

Het securityprobleem ziet Solari niet als het gevolg van een nog jonge industrie, want “er wordt ondertussen wel al 40 à 50 jaar aan softwareontwikkeling gedaan.” Hij ziet het veeleer als “een gedragsprobleem” en dat zowel van bedrijven als individuën.

Geen enkel bedrijf kan immers op zijn eentje een ‘end-to-end’ security opleggen of afdwingen, en dat zeker niet in een Web 2.0 wereld. Solari roept de bedrijven, en niet in het minst bedrijven als Cisco, Juniper, Huawei of Alcatel-Lucent op tot samenwerking. Er moet een ‘waardeketting’ komen, een ketting van verantwoordelijkheid tussen bedrijven om zo’n end-to-end security te bewerkstelligen. Maar ook individuën moeten hun verantwoordelijkheid opnemen. “Zij moeten worden gestimuleerd om voor security te gaan, zowel bij het nemen van aankoopbeslissingen, als bij het verlenen van diensten of het ontwikkelen van producten.”

Het blijft een uitdaging om bedrijven aan te zetten tot investeringen in het bouwen en kopen van veilige producten, maar “de vraag naar security duikt nu echt wel uitdrukkelijk op in contracten.” Solari illustreert dit met een voorbeeld bij Alcatel-Lucent zelf, waar een van de grootste klanten zo’n eis stelde. Tegen een specifieke datum moest Alcatel-Lucent voor die klant aantonen dat aan een uitgebreide reeks securityvereisten was voldaan, moest dat alles ook contractueel worden vastgelegd én moest Alcatel-Lucent toezeggen op zijn kosten een derde partij in te huren als auditor van die claims. Het betrof LTE-technologie, een strategische technologie voor Alcatel-Lucent, en die eisen konden dus niet luchthartig worden afgewimpeld. Uiteindelijk bleek er binnen Alcatel-Lucent toch een klein team al te werken aan die security-aspecten, wat hen tot de reddende engels maakten. Bovendien bleek het team van Carlos Solari aanvaardbaar om de audit in huis uit te voeren, met navenante kostenbesparingen.

Precies om securityproblemen voor te blijven ziet Carlos Solari zich vandaag ook als een soort ‘hoofd cheerleader’ om zijn securitytheorie ingang te laten vinden doorheen het hele bedrijf. Dat betekent de tools en de nodige training verschaffen, evenals wereldwijd de ‘best practices’ die zich bewezen hebben, invoeren. Dat vergt overigens geen onmogelijke middelen, want forensisch onderzoek door Solari’s team leert dat “80 procent van de producten niet lijden onder excentrieke kwetsbaarheden, maar veeleer gekende klassieke problemen,” zoals overbodige protocols, of zwakke standaardpaswoorden etc.

Standaarden cruciaal

Belangrijk is aandacht voor ‘security by design’. Van bij de anavang van een project moet rond security worden gecommuniceerd door alle partijen, zowel ontwikkelaars, management als afnemers. Bij Alcatel-Lucent maakt Solari hiervoor gebruik van Kiviat-diagrammen met een rist securityaspecten. Hierop kan zowel de huidige securitytoestand van een product of technologie, als het gewenst niveau worden uitgetekend. Die diagrammen vormen een communicatiemiddel om vervolgens het nodige niveau van security te bepalen (zeg maar risico-inschatting en -beheersing) en te bespreken hoe (en tegen welke kostprijs) dat kan worden bekomen.

Cruciale pijlers in dit proces vormen standaarden, onderstreept Solari. Wanneer bleek dat ip de basis van alle telecomdiensten zou worden, begon Bell Labs al onderzoek om de verwachte risico’s te elimineren. Dat resulteerde in een ‘network security’-model, dat vervolgens door de Internationale Telecommunicatie Unie (ITU) werd aanvaard als basis voor de ITU-T X.805 ‘end-to-end’ netwerk securitystandaard. Deze ligt op zijn beurt aan de basis van de securityvereisten in Next Generation Networking (NGN) studies. Solari is overigens stellig overtuigd dat over een vijftal jaren alle klanten zich zorgen zullen maken over cybersecurity en dat wie er nu al aan werkt dan de concurrenten achter zich zal laten. Maar dat zal niet uitsluiten dat vandaag en ook dan een ‘defensie in de diepte’, met klassieke securityproducten, eveneens nog een noodzaak zal zijn!

Guy Kindermans

‘Security by Design’ is een basisprincipe.