Een gelukkig toeval bracht security-expert Bruce Schneier, oprichter van Counterpane en vandaag bij BT, onlangs naar België. Zoals steeds zat hij niet om een paar krasse uitspraken verlegen.
Tegen de achtergrond van de recente Infosecurity.be product- en dienstenbeurs verklaart hij onomwonden dat “de uitdagingen veeleer sociaal van aard zijn dan technologisch.” Dat geldt zowel voor de dreiging – “het gaat om mensen, want het zijn de ‘bad guys’ die we willen buiten houden.” – als de middelen. “We staren ons blind op de technologie van security-oplossingen,” verklaart Schneier, terwijl “het een combinatie is van technologie en mensen. Er is geen security zonder mensen!”
Een courant probleem is dan ook de ‘ad-hoc’ wijze waarop security wordt aangepakt, het gebrek aan een allesomvattend en consequent beveiligingsplan in deze complexe sociaal-economische wereld, aldus Schneier. Alsof “je vooraan op een gebouw sloten installeert, maar dat achteraan vergeet…”
Beterschap
Natuurlijk heb je producten nodig, maar “vaak begrijpen de klanten niets van wat de verkopers hen vertellen.” De producten zijn technologische hoogstandjes die “het eigenlijk zonder uitleg zouden moeten kunnen doen.” Op korte termijn ziet Schneier dat niet gebeuren, wel naarmate de sector meer volwassen wordt. “Vergelijk het met de auto. In de begindagen werden auto’s geleverd met een boek dat uitlegde hoe je zelf herstellingen moest uitvoeren. Vandaag kan elke idioot met een wagen rijden.”
Hebben we nog de tijd om op dat soort producten te wachten gezien de groeiende dreigingen? Eigenlijk wel, meent Schneier, “wat kan er immers gebeuren? Er zal wel geween en tandengeknars zijn, en fraude en verliezen, maar de wereld zal niet in elkaar storten. We hebben nu al zware problemen, maar we slaan er ons wel door. Onderschat dat vermogen bij de mensen niet.”
Ziet hij heil in meer ordediensten op het net, zoals een (internationale) internetpolitie die door experts als Eugene Kaspersky van Kaspersky Lab worden gevraagd? “Of zo’n speciale politiemacht zinvol is, weet ik niet,” aldus Schneier, “maar er moet wel meer internetfähige politie komen. Internet zit inmiddels verweven in ons hele doen en laten en in elke misdaad schuilt een internetelement. Dat kan slaan op de organisatie, de uitvoering, communicatie en dies meer.” Belangrijk daarbij is meer internationale samenwerking, onderstreept ook Schneier, want dat “zou een groot verschil maken.”
Voorts kan het kwaad ook beter bij de wortel worden aangepakt, door veiliger software te bouwen bijvoorbeeld. Het initiatief van OWASP – een ‘open source’ application security project, met ook een ‘chapter’ in België – dat pleit voor een ‘secure software contract annex’ is hij genegen. Zo’n contract verplicht softwarebouwers hun inspanningen tot het bouwen van veilige soft ook effectief aan te tonen. “Het probleem zal veeleer zijn de bouwers te overtuigen om het te ondertekenen.” “Langzaam maar zeker” wordt er wat security betreft ook vooruitgang geboekt bij de opleiding van software-ontwikkelaars.
Verloren privacy
Een onderwerp dat Schneier nauw aan het hart ligt, is ‘privacy’ en de wijze waarop het volautomatisch vergaren en bijhouden van data de notie van ‘privacy’ uitholt. Iedereen laat op elk ogenblik van de dag een ‘digitaal’ spoor van zijn of haar doen en laten achter. Gesprekken, chats, e-mails, sociale netwerken, transacties, de jobactiviteiten – telkens weer wordt een beroep gedaan op een computer, worden de data bijgehouden en kan daarvan gebruik (lees: misbruik) worden gemaakt. Om niet te spreken van de informatie die jongeren vandaag zelf, zonder enige risicobesef, vrijelijk op het web gooien. En ‘misbruik’ is schier onvermijdelijk omdat allicht een eerdere uitspraak of een oude foto compleet uit hun verband kunnen worden gerukt (of niet meer van toepassing zijn op iemand die ondertussen misschien compleet van overtuiging is veranderd). Schneier citeert hierbij de infame kardinaal Richelieu: “Bezorg me zes lijntjes geschreven door de meest eerlijke persoon ter wereld, en ik vind er wel wat in om hem op te hangen.” Toch niet zo’n aanlokkelijk vooruitzicht.
Guy Kindermans
Fout opgemerkt of meer nieuws? Meld het hier