Beveiligingsgoeroe Bruce Schneier, altijd goed voor een interessant doch deprimerend verhaal, richt zich dit jaar op beveiligingscongres RSA in San Francisco op de implicaties van de technologische veranderingen die we de afgelopen paar decennia hebben doorgemaakt. (Van internet, naar web, naar mobiel.) Hij stelt dat we de wereld zo sterk verbinden dat we het kunnen zien als een soort organisme. Sterker nog, een robot.
"Je hebt sensoren, bijvoorbeeld een nabijheidssensor of een temperatuurmeter, en die kun je zien als de ogen en oren. Aan de uiteinden zitten de aandrijvers die de omgeving beïnvloeden, bijvoorbeeld de daadwerkelijke thermostaat die reageert op sensor-input. Alles daartussen is data en dat kun je zien als het brein." In zijn gebruikelijke meanderende stijl komt hij aan bij een aantal observaties over het leven in deze nieuwe wereld. "Ik noem het 'world size web', maar dat is een krakkemikkige term. Als je een betere hebt: e-mail me alsjeblieft."
Schneier noemt drie grote trends die zich aftekenen nu de wereld meer en meer verbonden raakt. Als je zijn boeken hebt gelezen, zullen ze je bekend voorkomen.
1. Het machtsevenwicht verandert
De ongeorganiseerden hebben de meeste baat bij deze technologische veranderingen. Kleine partijen krijgen toegang tot middelen die vroeger alleen voorbehouden waren aan grote organisaties. Dat draait de machtsdynamiek helemaal om. Aan de andere kant zijn grotere partijen - die min of meer lijden aan de wet van de remmende voorsprong - krachtiger als ze eenmaal schakelen omdat ze meer (technologische en economische) middelen hebben.
"Het is een strijd tussen de snellen en de sterken: wie behaalt grotere voordelen?" vraagt Schneier zich af.
2. Aanvallers hebben het makkelijker dan beveiligers
Dit moet ook evident voor ons zijn: beveiligers hebben een enorm aanvalsoppervlak te verdedigen en dat oppervlak groeit alleen maar hoe meer verbindingen en partijen we hebben. Aanvallers daarentegen hoeven maar één gaatje te vinden om binnen te komen. Dit is ook de reden dat perimeter-beveiliging heeft afgedaan: we kunnen er beter vanuit gaan dat hackers zullen binnenkomen, zodat we de schade die ze binnen de muur aanrichten beperken.
"Systemen worden complexer en het gat tussen wat beveiligers aankunnen en aanvallers vinden groeit hierdoor alleen maar", aldus Schneier.
3. Aanvallen schalen mee met technologische vooruitgang
"Je hebt een waarde van criminaliteit die burgers willen tolereren voor we willen dat er wordt ingegrepen." Stel je hebt 10 inbrekers op 1000 burgers, die samen goed zijn voor 50 inbraken per jaar, noemt hij als voorbeeld. Laten we ervan uitgaan dat 50 de drempelwaarde is waarvan de 1000 burgers het nét tolereren. Meer inbrekers is hogere waarde en dat leidt tot een roep tot meer blauw op straat. Met minder inbrekers krijgen burgers juist langzaam het gevoel dat er onnodig veel wordt geïnvesteerd in preventie en opsporing. "Dat is een delicaat evenwicht."
"Stel nou dat techniek het mogelijk maakt dat je het aantal inbraken verdubbelt. Dat betekent dat die 1000 burgers nog maar 5 inbrekers willen tolereren." Daar hebben we in feite mee te maken in de IT-wereld: de kleine groep die een grote groep slachtoffers maakt. Technologische vooruitgang zorgt voor een schaalvergroting binnen criminaliteit en dat leidt onherroepelijk tot onrust.
Hierna: Het breekpunt is niet nabij, maar komt er wel aan. Wat is er voor nodig om doorsnee mensen bewuster te maken en wat zijn de consequenties van dat omslagmoment?
Met andere woorden: criminelen doen meer met minder - toevallig de automatisering/bezuinigingsretoriek die menig IT'er de haren te berge zullen doen rijzen. En ondertussen bouwen we een superverbonden wereld, waarmee we het aanvalsoppervlak nog vergroten. "Ik weet niet of dat nou wel zo verstandig is."
We bouwen als IT'ers deze wereld (de robot, zo je wilt) ad hoc en dus zonder over het ontwerp na te denken, stelt de beveiligingsdeskundige. We moeten ons meer bewust worden over deze nieuwe wereld en de gevolgen daarvan. Hij toont zich ondertussen niet optimistisch over de kansen van beveiligers om deze wereld te beveiligen - zie punt twee van zijn trendlijst.
Keerpunt
De oplossing? "Als we geen beveiligde complexe systemen kunnen bouwen, moeten we die systemen weer loskoppelen. Minder centralisatie, meer lokaal en zelfs meer offline." Schneier denkt dat dit veranderpunt nog niet in zicht is, maar dat we absoluut een punt tegenkomen waarin we een bewuste keuze moeten maken over data-minimalisatie.
"Dit hebben we eerder gezien. We breidden in het verleden ook atoomenergie uit en op een gegeven moment was er een punt waarop de wereld besloot dat het te veel werd. Dus we zijn gaan afbouwen." Iemand uit het publiek wijst hem er fijntjes op dat die afbouw het gevolg was van een catastrofe die mensen voorzichtiger maakte.
"Ik hoop niet dat we een cyber-Tsjernobyl nodig hebben", grapt Schneier daarop, maar hij erkent dat het waarschijnlijk is dat het goed mis moet gaan voordat de wereld het besef krijgt om verstandiger om te gaan met data en connectiviteit.
Markt beloont beveiliging niet
"Het belangrijkste is dat we zien dat er een samensmelting aan de gang is." Apparaten, sensoren, data, netwerken, autonome systemen - volgens Schneier moeten we het niet als een verzameling componenten zien, maar als één complex systeem dat we als geheel moeten beveiligen.
"De markt biedt geen oplossing: er is geen incentive voor goede security." Als je een innovatieve gadget op de markt zet met security by design, ben je a) langzamer dan de concurrent die het achterwege laat en b) duurder dan de beveiligingverwaarlozende concurrent. "Marktwerking biedt dus geen oplossingen. We hebben regelgeving nodig."
"Momenteel doen we het precies verkeerd: je hebt technologen versus overheid, Apple versus FBI. Het moet juist technologen samen met overheid zijn." We moeten toe naar een systeem waarbij technologen beleid informeren en de belangen voor iedereen duidelijk zijn. Zonder angstretoriek, vindt de deskundige. "Ik heb overigens geen idee hoe dit er precies uit moet gaan zien, maar dat dit wel nodig is, is duidelijk."
Hij heeft een punt. Wij mensen zijn van nature rommelkonten. Vraag maar eens een willekeurige systeembeheerder naar het opslaggedrag van gemiddelde werknemer. Hoe meer we aan elkaar vastknopen, hoe groter de chaos. Zelf zou ik mijn domotica voor geen goud aan internet durven hangen.
Reageer
Preview