Het jaar 2021 loopt ten einde en waarschijnlijk vragen velen zich nu af waarom ze zoveel afhankelijkheden hebben onderschat. Als iets namelijk als een rode draad door het jaar gaat is dat het wel – een afhankelijkheid niet door hebben.
Incidenten
Exchange
Wat we in 2021 ook hebben vastgesteld is dat duizenden bedrijven en instellingen gebruik maakten van MS Exchange Servers zonder de nodige patches. Patches die sinds maart beschikbaar zijn, zijn ook nu nog niet overal geïnstalleerd. Cybercriminelen hebben zo vrij spel. Een van de redenen waarom nog steeds niet alle gaten zijn gedicht is dat men te afhankelijk is van een toepassing die mogelijk niet werkt na de patches.
“stukje software”
Maar er is ook een ander soort afhankelijkheid waarvan de impact zeer groot is. Bij alle ophef over Log4J is er namelijk een punt dat nog steeds te makkelijk over het hoofd wordt gezien. We hebben het niet over “een stukje software” dat door (bijna) alle groter software huizen is ingezet en ook elders in de IT keten zeer ruim aanwezig is. Bedrijven met een miljarden omzet en knutselaars vertrouwen erop. Hun applicaties hebben het echt nodig.
Geen cent
En iedereen die er gebruik van maakt heeft schijnbaar nooit in de gaten gehad dat dit het product is van vrijwilligers. Mensen die geen cent ontvangen voor een essentieel radertje van menig software-machinerie. Daar zijn niet alleen Oracle en Co, maar ook miljoenen bedrijven van afhankelijk.
Voor een dubbeltje op de eerste rang zitten zonder de risico’s te willen zien. Duizenden programmeurs, auditors en controleurs hebben de fouten in Log4J nooit gesignaleerd. Ondanks het feit dat het ook wordt toegepast voor vitale processen en kritische omgevingen.
Vergeet alle ophef in 2021 over supply chain problemen door tekorten aan chips en onze afhankelijkheden van fabrieken in China. Het grootste probleem is iets dat al veel langer speelt zonder dat het voor ophef heeft gezorgd.