Gartner ITxpo 2007: Zoekt en ... gij wordt gevonden

Binnen zes maanden is er sprake van de zwaarste recessie sinds de oliecrisis van 1973, met als enige lichtpunt dat boeken, tijdschriften en tv opeens weer populair worden.
De ‘Google-hack’ die aan alle ellende ten grondslag ligt, is fictie – en dus niet een scenario waar Gartner-analisten Richard Hunter, Jay Heiser en Whit Andrews hun gebruikelijke ‘probability’-score aan hangen. Ze gebruiken Google vooral als voorbeeld voor de manier waarop wij – leveranciers, bedrijven, gebruikers, consumenten – met informatie omgaan. Zélfs een professioneel bedrijf als Google is daardoor kwetsbaar, om maar te zwijgen over het groeiende aantal andere zoeksites – openbare en vooral binnen bedrijven – waar mensen met minder goede bedoelingen misbruik van willen én kunnen maken.

Verkochte geheimen
In het denkbeeldige scenario verkoopt een ontevreden Google-medewerker (en waarom zou die er níet zijn?) wachtwoorden en softwaregeheimen aan cybercriminelen. Die komen erachter dat Google voor zijn beveiliging vertrouwt op de obscuriteiten van zijn maatwerkprogrammatuur en in feite veel kwetsbaarder is dan gedacht. Ze tappen in het geheim zoekgegevens en andere databases af, met allerlei gegevens die Google opslaat om zijn werk te doen. Het Google-management komt er wel achter, maar houdt het uit angst voor negatieve publiciteit geheim, in de hoop het probleem zelf op te kunnen lossen voordat het in de openbaarheid komt.
De oorspronkelijke academische gedachte achter het web was dat de zoeker ervan uit mocht gaan dat informatie duidelijk identificeerbaar werd gepresenteerd met geen andere bedoeling dan deze aan werkelijk geïnteresseerden ter beschikking te stellen. Die naïviteit heeft het web al lang verloren. Het informatie-ecosysteem is nu uitermate “opportunistisch, en zelfs vijandig tegenover objectiviteit en onpartijdigheid”, aldus de Gartner-analisten. Advertentiegedreven informatie is de norm. Niemand is meer echt betrouwbaar, ook niet de gebruiker die zich soms laat verleiden ergens op te klikken om bepaalde informatie ‘populairder’ te maken. Dat soort informatievandalisme tegenover de logbestanden van zoekmachines noemen de analisten ‘denial-of-insight’-aanvallen.
Een andere plek waar zoekmachines geraakt kunnen worden, is de code die vastlegt in welke mate informatie of documenten relevant zijn voor zoekers. Er zullen altijd partijen zijn die in staat zijn dergelijke relevantiecode te misbruiken. Ook is er het verschijnsel dat grote bedrijven, belangenorganisaties en anderen het internetecosysteem ‘volpompen’ met informatie waar een argeloze bezoeker altijd wel tegenaan loopt.

Google is het probleem niet
Hoewel de Google-hack niet ondenkbeeldig is, gaat het betoog van Hunter, Heiser en Andrews eigenlijk niet over Google, benadrukken ze. Bedrijven zijn namelijk veel kwetsbaarder voor soortgelijke problematiek dan Google zelf. Veel zoekopdrachten worden gedaan door mensen in bedrijven – op zoekmachines die in het bedrijf zijn geïnstalleerd. “Die zoekmachines creëren een ‘database van bedoelingen’, die kwetsbaar en waardevol is – waardevoller dan die van Google, want specifieker, makkelijker te stelen en makkelijker te interpreteren”, aldus de analisten. Een voorbeeld over een farmaceutisch bedrijf: “Als je weet welke onderzoeker op intranet en internet heeft gezocht naar informatie over een bepaald bestanddeel van een geneesmiddel, is dat zeer waardevolle informatie voor een kundige concurrentieanalist in die sector.”
De risico’s die zich bij zoekmachines als Google aandienen, zijn een even groot gevaar voor bedrijfszoekmachines en die laatste zijn makkelijker aan te vallen. Informatie over de intenties van medewerkers en klanten kan zo aan de oppervlakte komen. Maar ook bijvoorbeeld Sharepoint My Sites kan voor derden een mooie bron van informatie zijn over activiteiten van medewerkers buiten de bedrijfsmuren.
Het faciliteren van zoektechnologie in bedrijven is een aanzienlijk grotere verantwoordelijkheid dan velen denken, wil Gartner maar zeggen. Maak je geen zorgen over het instorten van de interneteconomie, maar wel over die van het bedrijf. Als beheerder van zoektechnologie in het bedrijf maak je je waarschijnlijk al druk over het maximaliseren van het zoeksucces van de gebruikers, maar waarschijnlijk niet genoeg over het afschermen van zoek-logbestanden, relevantiecode en documenten die überhaupt niet voor derden bestemd zijn. En het kan geen kwaad ook de gebruikers in het bedrijf bewust te maken van de risico’s.


Wat bedrijven moeten doen:
• Sluit de zoeklogbestanden af en regel de admin-rechten van de zoekmachine.
• Stel een beleid vast dat medewerkers verbiedt persoonlijke blogs bij te houden die iets met het werk te maken hebben.
• Wijs een ‘corporate security officer’ aan.
• Maak gebruikers duidelijk hoe ze informatie geheim kunnen houden.
• Installeer content-filters.
• Anonimiseer de Google-zoekvragen vanuit je bedrijf.
• Vraag je af of je je medewerkers moet ontraden zich publiekelijk met het bedrijf te verbinden.
• Zet geen foto’s van het bedrijfsfeestje op internet.