Zonder code is er geen IT en onveilige code kan onbedoeld het zelfde effect hebben. Daarom wordt er al zo lang gesproken over methoden code beter en veiliger te krijgen. Dat die discussie nog steeds loopt geeft aan dat er geen simpele oplossing bestaat.
Probleem
Er is echter een gigantisch probleem. De bedrijven die hier het meest over communiceren, dat zijn grote spelers als IBM, Atlassian, Azure en VMware. Die spreken stuk voor stuk maar een deel van de markt aan. De klanten die zij adresseren en bedienen zijn niet de afnemers van een IP-camera, printer of slimme thermostaat. Precies die groep gebruikers, beter bekend als de consument, heeft waarschijnlijk het meeste te maken met brakke code. Maar hij heeft dat lang niet altijd in de gaten. Pas als zijn provider ingrijpt dringt door dat hij deel van een botnet was.
De vraag code te controleren kan niet bij deze groep worden neergelegd. Daarom dat de EU fabrikanten, importeurs en distributeurs daarop aanspreekt. Die kunnen veel controleren, maar ook niet alles. Wat de consument met het device doet kan nooit met 100% zekerheid worden vastgesteld. Een huis-tuin-en-keuken netwerk kan vandaag veilig zijn, maar morgen door het toevoegen van een device of een besmette USB stick, compleet onveilig.
Alles is code
Wijzen naar SolarWinds, Kaseya of andere bedrijven waarvan de code niet klopte is terecht. Eisen dat die ervoor zorgen dat hun code wel in orde is heeft geen uitleg nodig. Maar alleen dat soort gevallen zien als scope van code is onjuist en zelfs gevaarlijk, want “everything is code”.