Beveiligingsbranche dient zichzelf dosis realisme toe
Toch heerste er in San Francisco geen jubelstemming. De bijeenkomst werd aangegrepen om enkele oude problemen aan te pakken en toekomstige drempels te identificeren. De beveiligingsbranche gaat gebukt onder een paradox. Na 11 september stond veiligheid van netwerken opeens bovenaan de prioriteitenlijstjes van managers. Maar dit vertaalde zich niet in extra omzetten van afzonderlijke bedrijven. Voor een deel was de belofte van extra investeringen slechts mooipraterij. Beveiliging wordt gezien als een eenvoudige bezuinigingspost zonder dat grote, bedrijfskritische projecten in gevaar komen. Daarnaast wordt er wel degelijk meer geld uitgegeven. Gartner registreerde vorig jaar 30 procent meer omzet aan ‘firewalls’ en ‘virtual private networks’, terwijl bedrijven 12 procent meer uitgaven aan antivirussoftware. Dat deze extra uitgaven zich nauwelijks vertalen in omzetstijgingen bij afzonderlijke bedrijven, komt doordat er zich meer aanbieders op de markt hebben gestort. De taart is weliswaar groter, maar er zijn ook meer eters. Voorzichtigheid Ondanks de positieve vooruitzichten was de sfeer tijdens de RSA Conference er vooral een van voorzichtigheid. In zijn toespraak waarschuwde Jim Bidzos, voorzitter van de beurs en voormalig bestuurder van moederbedrijf RSA Security, ervoor dat netwerken op dit moment nog minder veilig zijn dan vorig jaar. Vooral aanvallen van hackers, cyberterrorisme en onlinefraude vormen nog een zwakke schakel. Binnen de IT sector krijgt beveiliging maar net voldoende aandacht, terwijl Bidzos meer respect kan opbrengen voor de beveiligingssector zelf en de manier waarop de Amerikaanse overheid de problemen lijkt aan te pakken. Bidzos heeft overigens alle reden om de overheid op de borst te kloppen. President Bush wil de investeringen in beveiliging met 60 procent verhogen. Hoewel dit geld naar verwachting pas in september wordt uitgegeven, staan de leveranciers nu al te trappelen om uit de rijk gevulde overheidsruif te mogen eten. En dan is het natuurlijk niet verstandig om zo’n welkome klant al vooraf tegen je in het harnas te jagen. Naast de voorzichtigheid voor al te veel optimisme, klonk op de achtergrond het argument dat de branche zich professioneler moet gaan opstellen. De angst bestaat dat de groei omslaat in een hype, met overtrokken verwachtingen en de onvermijdelijke antihype. Daarnaast moeten op die manier de klanten gewonnen worden die beveiliging als een luxeproduct zien. Gespecialiseerd Een belangrijke trend is daarbij de opkomst van gespecialiseerde apparaten voor de beveiliging (in het Engels simpelweg aangeduid als ‘appliances’). De toestellen zijn in feite beveiligingssoftware met een stekker. De fabrikant levert een kantenklare computer waar de software al op geïnstalleerd en ingesteld is. De klant hoeft hem nog slechts op het netwerk aan te sluiten en aan te zetten. Dankzij deze apparaten wordt niet alleen het onderhoud eenvoudiger en dus goedkoper, belangrijker nog is dat het programma al correct is ingesteld. Traditioneel moet de ITafdeling beveiligingssoftware zelf op een server installeren en instellen, en daarbij worden te vaak fatale fouten gemaakt. Volgens Sun Microsystems, dat de beurs aangreep om zelf een eigen beveiligingsapparaat te presenteren, is 90 procent van alle inbraken in netwerken het gevolg van onjuiste instellingen. Startup Het grote gebruiksgemak was voor Vormetric de belangrijkste reden om hun software in een apparaat te stoppen. De startup uit Silicon Valley is een van de vele ondernemingen die op RSA Conference een toestel toonde. De CoreGuard van Vormetric gaat als het ware bij het besturingssysteem op schoot zitten en controleert de bestemming van elke datastroom door opnieuw zaken als de inlognaam en wachtwoord te controleren. Zelfs wanneer een hacker via een achterdeur is binnengekomen, komt hij niet bij gevoelige informatie. "We hadden het systeem net zo eenvoudig op een cdrom kunnen verkopen", vertelt salesmanager Bruce Johnson. "Maar op deze manier hoeft de beheerder geen onderhoud op de server uit te voeren. Bovendien hebben wij op ons toestel alle benodigde software gebundeld, zodat we zeker weten dat alles goed met elkaar samenwerkt." Daarmee maken de apparaten meteen een einde aan een slepende discussie onder beveiligers: de keuze tussen ‘best of breed’ en gebundelde pakketten. Door het ontbreken van een duidelijke marktleider in de beveiligingsbranche, bundelen netwerkbeheerders zelf software van verschillende leveranciers, in de hoop dat ze op die manier een veilige oplossing creëren. Daarbij bestaat de kans dat er gaten over het hoofd gezien wordt. Bovendien werkt niet alle software even goed met elkaar. Wie een apparaat koopt, krijgt een kantenklare oplossing waarbij dergelijke risico’s verleden tijd zijn. Rendement Met de introductie van de apparaten raken beveiligers een gevoelige snaar bij klanten. Minder onderhoud leidt tot een lagere belasting van de ITafdeling en dus kostenbesparingen. Op die manier zijn de investeringen eenvoudig bij het management te verkopen. Daarmee is het opeens geoorloofd om binnen de beveiliging te praten over het rendement op de investeringen. Cryptografen beweerden altijd dat het rendement irrelevant was. Wanneer een hacker er met vertrouwelijke gegevens vandoor gaat, valt de schade aan het imago in het niet bij de werkelijke schade. Deze patstelling is er deels de oorzaak van dat veel gebruikers wel willen investeren in beveiliging, maar niet weten waar ze moeten beginnen of ophouden. Accenture gebruikt voor zijn eigen netwerken daarom ook geen rendementsberekeningen, vertelt Charles Porter, operationeel directeur van Accenture Technology Infrastructure Services. "De kans dat er iets fout gaat is heel klein. Maar als het misgaat is de schade enorm. Normaal bereken je het risico door het risco te vermenigvuldigen met de schade. Bijna nul vermenigvuldigd met oneindig levert geen maakbare som op. Maar er zijn wel andere manieren om het rendement te laten zien." "We zijn nu bezig met softwaredistributie. In feite wil ik niet dat ik bij elke nieuwe patch alle bureaucomputers langs moet, maar zo heb ik het niet bij de directie verkocht. Ik ben uitgegaan van een taak die we regelmatig uitvoeren: ik heb ze laten zien hoeveel het zou kosten om een computer helemaal opnieuw te installeren, en hoeveel we besparen als we dat vanaf een afstand kunnen. Daar is een duidelijk rendement zichtbaar. Je moet je niet concentreren op de opbrengst van iets dat je hebt voorkomen, je moet zoeken naar nieuwe toepassingen." "In een ander geval wilde ik een systeem bouwen dat backups maakt van software. Wij hebben ook kantoren in het MiddenOosten. Daar moet je er serieus rekening mee houden dat er iets ergs gebeurt, waardoor een netwerklijn, fysiek pand of een heel land onbereikbaar wordt. Zelfs dan moeten wij onze klanten van dienst kunnen zijn. De investeringen in een systeem dat over ons netwerk een reservekopie maakt van data heb ik daarom verkocht als een manier om altijd door te kunnen werken." Angstaanjagend Door de ervaringen van gebruikers als Porter lijkt bij de beveiligers langzaam het besef door te dringen dat zij hun boodschap op een andere manier moeten brengen. Er zijn genoeg angstaanjagende statistieken die de gemiddelde directeur de stuipen op het lijf moeten jagen. Statistieken over de schade die hackers elk jaar aanrichten, percentages van gebruikers die hun wachtwoord op de monitor plakken of simpelweg hun geboortedatum gebruiken. Op de RSA Conference gingen er voor het eerst stemmen op dat deze bangmakerij niet werkt, en zelfs averechtse gevolgen heeft. Diverse bedrijven doen minder zaken op het web, juist omdat het niet veilig zou zijn. "Als je met je CEO wilt spreken, moet je het niet over bedreigingen hebben", benadrukt Ron Moritz, beveiligingsstrateeg voor Computer Associates. "Die tactiek heeft de beveiligingsexpert de meest gehate man in de organisatie gemaakt. Hij zegt alleen maar: "Dit kan niet." Het gevolg is dat de directie telkens ‘nee’ zegt tegen beveiliging. We moeten niet langer projecten blokkeren, maar juist nieuwe toepassingen mogelijk maken." John Worrall van RSA valt hem bij: "Als we beveiliging presenteren als een manier om meer geld te verdienen, krijgen we vanzelf de aandacht die we verdienen. Daar is vertrouwen voor nodig. We kunnen wel zeuren dat bedrijven de veiligheid niet serieus nemen, maar we zullen eerst het vertrouwen moeten verdienen dat we de positie die we opeisen ook waard zijn." Voor de beveiligingsbranche is deze aanpak misschien nieuw, maar andere ITmarkten zijn al veel langer gewend dat ze voor hun geld moeten vechten. Het werd daar gezien als een teken dat de markt volwassen is geworden. Beveiliging is wat dat betreft een laatbloeier, maar dit jaar werd de branche op de RSA Conference volwassen.