Volgens recent onderzoek van Verizon Business duurt het in meer dan 63 procent van de gevallen ettelijke maanden voor een bedrijf ontdekt dat iemand ingebroken heeft op het bedrijfsnetwerk. Zeventig procent van de netwerkinbraken wordt eerst opgemerkt door mensen buiten het bedrijf zelf. Nadat de netwerkinbraak is opgemerkt, duurt het in bijna de helft van de gevallen nog weken voordat het euvel is opgelost. Moeten we concluderen dat de meeste bedrijven lak hebben aan de veiligheid van hun it-infrastructuur? Dat is te kort door de bocht geredeneerd. Op de beveiliging van alles wat zich buiten ons bedrijf en ons bedrijfsnetwerk afspeelt, hebben we weinig of geen controle. Als we bijvoorbeeld vandaag het internet zouden ontwerpen, dan zouden we veel meer aandacht besteden aan de inherente veiligheid van alle gebruikte protocollen. Ook het populairste besturingssysteem (Microsoft Windows) is innerlijk onveilig, al is dat met de nieuwste incarnatie (Vista) wel een flink stuk verbeterd. Er bestaat een alternatief dat wezenlijk veiliger is (Linux), maar de massa gaat daar niet snel op overschakelen. Ook populaire applicatiesoftware zoals Microsoft Office is niet van de grond af opgebouwd volgens de basisprincipes van de beveiliging. Experten zoals David Rice van beveiligingsadviesbureau Monterey vinden terecht al langer dat software alleen nog maar zou mogen worden verkocht met een veiligheidsgarantie. Nu fungeren bedrijven nog te vaak als testers en dat kost ze handenvol geld. Software met een beveiligingskeurmerk blijft voorlopig nog een toekomstdroom.

Ondertussen nemen de bedreigingen toe en worden hackers en bedrijfsspionnen almaar inventiever. Security is uiteraard geen doel op zich. Het gaat niet om beveiligd te zijn, maar om veilig je werk te doen. Een totaal afgesloten informatiesysteem is het veiligst, maar je kunt er niets nuttigs mee doen. De ict verandert constant. Elk nieuw systeem, elk nieuw algoritme, elke nieuwe connectie brengt onbekende en potentieel systeembedreigende risico’s met zich mee. Risicobeheer is in de ict, net zoals in alle andere domeinen van het leven, aartsmoeilijk. Hoe ernstig moeten we potentiële risico’s nemen? Wat gaat het ons kosten om die al dan niet vermeende risico’s uit te sluiten? Misschien herinnert u zich nog de Y2K-commotie uit de jaren negentig? Volgens een rapport van de Britse omroep BBC uit 2000 zouden bedrijven en overheden wereldwijd meer dan 300 miljard dollar hebben uitgegeven aan de ‘millenniumbug’, die uiteindelijk grotendeels ingebeeld bleek te zijn. Wereldwijde ‘scares’ zoals met de millenniumbug kunnen op elk moment uitbreken. (Er zijn er al nieuwe aangekondigd voor 2038 en 2070.) Als niet-specialist heb je er vaak het raden naar hoe ernstig je die moet nemen. Als overheden echter wetten stemmen en budgetten vrijmaken om het probleem aan te pakken (zoals met de millenniumbug onder andere in de V.S. gebeurde) dan is het logisch dat bedrijven en organisaties dat serieus nemen en het voorbeeld volgen. Risicobeheer is vaker gebaseerd op emoties, vermoedens of de waan van de dag dan op concrete cijfers en metingen. Bangmakerij leidt tot gelatenheid. Elke nieuwe ‘security scare’ die achteraf minder erg blijkt te zijn, leidt tot laksheid en dus, paradoxaal, tot grotere onveiligheid. Daarom verwonderen die statistieken van Verizon Business me niet.

Jozef Schildermans is journalist en hoofd van het Data Testlab, een onafhankelijk lab voor het testen van bedrijfsgerichte hard- en software. www.villapc.be

JOZEF SCHILDERMANS