10 januari 2011
De vraag is of echte veiligheid in de IT een haalbaar verhaal is, of een volstrekte utopie. Denken we aan WikiLeaks, Stuxnet, en over de vraag of die beveiligingsdieptepunten van 2010 te voorkomen waren geweest. Nee, denk ik: hadden de betrokken partijen er voor gezorgd dat de nu gevolgde routes waren afgesneden, dan hadden zowel de makers van Stuxnet als de bronnen van Wikileaks wel een andere route gevonden. Stuxnet toont in feite aan dat als een partij het echt wil, er altijd wel ergens een gaatje te vinden is. Stuxnet was een bijzonder professionele aanval, en het is de vraag of daar ooit een kruid tegen gewassen is. Geen bank is honderd procent te beveiligen – de vraag is uitsluitend of de beveiliging goed genoeg is om het aantal overvallen op acceptabele hoogte te houden. Honderd procent veiligheid bestaat niet. Veel lastiger is de vraag die Wikileaks oproept: hoe gaan we om met de mens als zwakste schakel? Voor beveiliging zijn nog zulke prachtige oplossingen te bedenken, maar als de mens in de weg gaat zitten, vindt hij/zij er altijd wel een weg omheen. Iedereen kent het dilemma van de wachtwoorden: als je je gebruikers vaak genoeg dwingt ze te veranderen, gaan ze vanzelf simpele wachtwoorden gebruiken, anders onthouden ze ze niet meer. En als je ze dwingt ingewikkelde wachtwoorden te gebruiken, gaan ze ze opschrijven – anders onthouden ze ze niet meer.