Wim Horseling Goldilock: ‘Cybersecurity zonder airbag is niet veilig’

Wim Horseling, Sales Director Europa bij Goldilock

Europa streeft naar digitale soevereiniteit in 2035. Dat is goed, maar laten we die ambitie gebruiken om ook iets fundamentelers aan te pakken: de manier waarop we omgaan met cyberbeveiliging. Want die houdt geen stand.

Auto’s verongelukken. Daarom hebben we airbags. Schepen zinken. Daarom hebben we waterdichte schotten. Gebouwen branden af. Daarom hebben we brandmuren. Al die noodvoorzieningen zijn automatisch, getest en gecertificeerd. De airbag wacht niet op een managementvergadering. De branddeur gaat dicht zodra de rookmelder afgaat. In de ICT kennen we dit fenomeen echter niet.

Bij sommige organisaties bestaan noodplannen, maar ze liggen doorgaans in een kast. Een handvol organisaties in Nederland test ze regelmatig, en dan vaak nog onder toezicht van een intern team. De slager keurt zijn eigen vlees. Wat we niet hebben, zijn noodplannen die zichzelf activeren: automatisch, zonder menselijke beslissing, getest en gecertificeerd zoals een airbag. Dat verschil tussen automatisch en handmatig, en getest versus aangenomen, is de kern van het probleem.

De paradox van beveiligingssoftware

De gangbare aanpak in cybersecurity is software inzetten om softwareproblemen op te lossen: firewalls, zero-trust oplossingen, endpoint security. Dat doen we al meer dan twintig jaar, en de problemen worden groter, niet kleiner. Waarom? Omdat de software die ons moet beschermen zelf ook kwetsbaarheden bevat.

Zero-day exploits zijn geen randverschijnsel meer, maar ze zijn structureel. Commerciële fabrikanten bouwen hun producten op een fundament van open-sourcecomponenten, onder druk van aandeelhouders die snelle marktintroductie willen. De opensource-community is toegankelijk voor iedereen, ook voor wie er bewust een achterdeur in wil bouwen. Het is verre van eenvoudig om die achterdeur te vinden en te verwijderen tijdens de productontwikkeling.

Daar komt nog iets anders bij. Meerdere landen eisen van cybersecurityfabrikanten op hun grondgebied dat er een verborgen toegangspoort beschikbaar is voor de overheid. Honderd procent zekerheid dat een beveiligingsproduct vrij is van dergelijke achterdeuren bestaat simpelweg niet.

De EU Cyber Resilience Act is een stap in de goede richting: hij dwingt transparantie af over kwetsbaarheden. Maar het onderliggende probleem lost hij niet op. We maken steeds zichtbaarder hoe lek de emmer is, zonder de emmer te vervangen omdat we er impliciet op vertrouwen dat de emmer doet wat hij hoort te doen. Professor Dr. Marieke Huisman van de Universiteit Twente legt in haar recente publicaties precies uit waarom Software Reliability zo moeilijk is.

Als klant word je intussen steeds meer gedwongen om zelf te pentesten, zero-days te zoeken, en kwaliteitscontrole te doen op het product dat je hebt aangeschaft. De fabrikant levert een zwak product; de klant krijgt de rol van kwaliteitscontroleur en betaalt daarvoor zelf.

Patchen als verdienmodel

Vroeger gold een patchcyclus van drie tot zes maanden als industriestandaard. Nu updaten sommige fabrikanten hun klanten dagelijks. Dat klinkt als toewijding aan kwaliteit. De realiteit is een andere: het is een stille erkenning dat producten structureel onvoldoende zijn zonder dagelijkse reparatie.

En het heeft een interessante bijwerking. Aan de kant van integrators en serviceproviders is patching een aanzienlijk verdienmodel geworden. Volledig geautomatiseerd patchen wordt soms actief vertraagd, want handmatig werk genereert factureerbare uren. Twee FTE voor patchbeheer à 45.000 euro per maand is eenvoudiger uit te leggen aan een budgethouder dan een geautomatiseerde dienst voor 20.000 euro per maand die het beter en sneller doet. Het uurtje-factuurtje-model wint van de efficiëntie.

Kortom: de klant betaalt twee keer; voor het kwetsbare product, en voor het continu repareren ervan. Dit dreigt neer te komen op een perpetuum mobile: ontdekken, patchen, testen, opnieuw beginnen; 24/7, dus structureel onuitvoerbaar.

De echte vraag

De EU zet terecht in op digitale soevereiniteit. Maar als die transitie alleen gaat over het vervangen van Amerikaanse cloudproviders door Europese, lossen we het architectuurprobleem niet op.

De echte vraag is niet: welke software vertrouwen we? De vraag is: hoe ontwerpen we systemen die blijven functioneren als die software tekortschiet? In de twee volgende delen die online verschijnen op InfoSecurityMagazine.nl ga ik in op wat dat concreet betekent. Qua architectuur, organisatie, en de rol van het Security Operations Centre.

Wim Horseling is Sales Director Europa bij Goldilock. Je komt met hem in contact via wimhorseling@goldilock.com of bel 0653 870 105.

 

(dit artikel verscheen eerder in het e-Magazine)

Gerelateerde berichten

Panik Button is een Nederlands Cyber Resilience (Weerbaarheid) bedrijf dat organisaties helpt wanneer zij worden getroffen door een cyberaanval, zoals een hack, ransomware of een grote IT-storing. Op zo’n moment...

De afgelopen dagen is in de nationale en internationale pers veel aandacht besteed aan gehackte IP-camera’s in Nederland. Het gaat om een grootschalige Russische spionageactie waarvoor een berucht zwakke schakel...

Vorige week schreef Golem, een Duitse techsite dat M365 voor het Zwitserse leger onacceptabel was. De site gebruikte als bron een artikel uit een Duitse krant. Daar had iemand zitten...

Veel IT-bedrijven ontwerpen hun architectuur zorgvuldig, maar worstelen met de uitvoering: te weinig handen voor implementatie, onderhoud en support op locatie. Easy Services uit Lelystad springt in dat gat. Als...

Lezers van ITchannelPRO zien regelmatig berichten over het optreden van de Europese Commissie tegen Amerikaanse big tech. Ten onrechte zou daardoor de indruk kunnen ontstaan dat men alleen naar de...

Laatste nieuws
Personalia
Magazine
Evenementen
sep
02
17:00 - 21:30 - La Cantina, Scheveningen
17:00 - 21:30 | La Cantina, Scheveningen
sep
04
09:00 - 17:00 - Online
09:00 - 17:00 | Online
sep
09
13:00 - 21:00 - Mereveld
13:00 - 21:00 | Mereveld
Vacatures
Q data solutions
Den Bosch
TP-Link
Nieuwegein
TP-Link
Nieuwegein