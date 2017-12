Wormen, blockchains, IoT en meer zaken waar we over moeten nadenken.

Zo tegen het eind van het jaar plegen vooral analisten even in de glazen bol te kijken om te zien welke trends mainstream gaan volgend jaar. Analisten houden de markt in de gaten en zien trends iets sneller ontwikkelen dan de gemiddelde IT'er (hoewel ze er natuurlijk net zo goed regelmatig naast zitten), maar beveiligingsbedrijven zien wat er in de back-ends gebeurt en welke nieuwe trucs malware ontwikkelen voor wij het zelf zien. Daarom zijn hun voorspellingen volgens mij in de regel veel interessanter en haak ik daar in dit artikel meer op aan.

Daarbij moet wel worden gezegd dat beveiligers ook regelmatig open deuren intrappen. We kunnen de persberichten met koppen als "kosten cybercrime stijgen in 2018", "ransomware groeit verder", "IoT-gadgets zijn zwak beveiligd" en meer van dat soort dooddoeners dezer dagen terugvinden in onze redactiebus. Dit zijn volgens ons vier trends waar we allemaal mee te maken krijgen komend jaar:

1. Je moet *iets* met blockchain doen

Het zat er al een tijdje aan te komen, maar nu zal menig IT-afdeling vragen van bovenaf verzoeken krijgen op basis van een half onthouden verhaal uit de krant over de revolutie die blockchain belooft. De bitcoinhype die we vier jaar geleden in dit artikel beschreven bleek nog maar een klein voorproefje en samen met de op de bitcoin-blockchain gebouwde cryptovaluta is er ook een groeiende interesse in de achterliggende technologie.

Nieuwe datastructuur

Blockchain is in zijn basis een datastructuur die lijkt op een gelinkte lijst, maar in plaats van reguliere verwijzingen naar het vorige data-element is de pointer voor elk element een hash van de vorige (plus diens gehashte pointer). Dat zorgt ervoor dat de keten eenvoudig verifieerbaar is; knooppunten hoeven alleen maar de keten van hashes te verifiëren, niet de database-inhoud.

Een malafide aanpassing in een block zorgt ervoor dat diens hash verandert. De hashpointer in volgende blocks verwijzen dan naar een block dat opeens afwijkt en omdat de hele keten van opvolgende blocks door die propagerende hashwijziging niet meer klopt, wordt de wijziging verworpen. Een effect daarvan is dat je blockchain zonder centrale autoriteit kan inzetten op verschillende, disparate knooppunten die elkaars informatie kunnen vertrouwen.

Niet altijd geschikt

Valuta zijn één van de applicaties daarvan, maar er is veel enthousiasme over wat zo'n moderne interpretatie van een kasboek kan betekenen voor een toepassing als vastgoedbeheer. Een blockchain-toepassing zou bijvoorbeeld een hypotheek kunnen verstrekken, die wordt overeengekomen tussen twee partijen zonder dat er een third party aan te pas komt.

Er zijn meerdere uitdagingen die vooral IT'ers moeten oplossen - los van de toepassingen die aan de businesskant worden ontwikkeld - voordat deze revolutie zich goed en wel voltrekt. Niet iedere blockchain is even geschikt voor alle toepassingen. Bitcoin heeft last van de wet van de remmende voorsprong en worstelt met schaalbaarheid, Ethereum met complexe library's en daardoor blijkbaar lastig te implementeren API's, en Ripple heeft afgezien van een smart contract-platform, waardoor het een puur financieel instrument blijft.

Faalmomenten voor de hand

Je hebt misschien al gehoord dat je "iets met blockchain" zult moeten gaan doen. Dat is als "iets met een app" zo'n tien jaar geleden en "iets met internet" tien jaar daar weer voor. Ervaren IT'ers nemen daarom ook graag een afwachtende houding af zodra de woorden "iets met [trend]" vallen. Het wordt pas een probleem als iemand die gehinderd wordt door onvolledige kennis blockchain-projecten opstart in je bedrijf.

De valkuilen voor informatiebeveiliging zijn divers met zo'n project. Bedrijven die een eigen algoritme ontwikkelen om data cryptografisch te verwerken, organisaties die een eigen hashfunctie bedenken, en ondernemingen die een lekkende implementatie ontwikkelen voor zo'n project zijn voor de hand liggende faalmomenten. Maar ook verkeerde toepassingen dreigen; het afgelopen jaar hebben we al diverse voorbeelden gehoord over sterke blockchain-databases, waarbij mensen uit het oog verliezen dat de toepassing vooral geschikt is voor informatieverwerking waarbij latency geen rol speelt.

Als RDBMS voldoet: gebruik RDBMS

Het klinkt zo mooi: data-integriteit met blockchain, firmware-controle met blockchain, zelfs IDS met blockchain, maar dit zijn toepassingen waar de sterke maar relatief trage database zich juist minder goed voor leent. Als er geen dringende reden is om over te stappen op een nieuwe datastructuur en een 'ouderwetse' relationele database voldoet, is het beter om die in te zetten. Laat de nieuwe toepassingen bij gebrek aan goede API's en documentatie vooral over aan innovatieve kartrekkers en start-ups: de meeste organisaties kunnen voorlopig beter bij beproefde tools en middelen blijven.