Half december heeft het HIT2000 team een onderzoek uitgevoerd naar de
beveiliging van de netwerken van Nederlandse bedrijven die zich profileren
op het security werkveld. Een intern rapport daarover is inmiddels
uitgelekt. De resultaten worden of zijn als het goed is meegedeeld aan de
betreffende bedrijven. De lijst gepenetreerde omgevingen lijkt nogal op de
lijst met standhouders op de Infosec beurs, en het lijkt er op dat zo
ongeveer iedereen te kraken is. Dit is natuurlijk een schokkende uitkomst.
Noemt zich specialist, maar kan niet eens de eigen broek ophouden. Het vaak
gehoorde verhaal dat een schoenmaker ook op slechte schoenen loopt, en een
fietsenmaker geen bel op z'n fiets heeft, mag geen verdediging zijn. Laatst
werd deze nieuwsbrief door de mimesweeper van een van de door HIT2000
genoemde bedrijven gebounced, omdat de inhoud allerlei alarmbellen liet
afgaan. Op zich niet onlogisch. Maar het antwoord bevatte de versie van het
gewraakte product en het interne IP adres, dus achter de NAT. Configuratie
of implementatiefout? In ieder geval interessante en bruikbare informatie
omtrent de opbouw en de beveiliging van het netwerk. Ernstiger was dat de
postmaster en een securityspecialist van deze organisatie niet gereageerd
hebben op een mailtje waarin het probleem en de impact uitgelegd werd.

Maar wat had je dan eigenlijk verwacht? Zeker waar het om grote bedrijven
gaat, kan het niet anders dan dat er gaten in het netwerk zitten. Na het
demasqué van Microsoft, dat blijkbaar de eigen MSADC fixes niet op alle
systemen had uitgevoerd, mag het niemand meer verbazen dat het andere
organisaties ook niet lukt. De netwerken zijn te complex voor een paar
individuen en de tijd te beperkt. Hoeveel tijd kost het om een enkel systeem
te beveiligen? Kijk naar hoeveel tijd het kost om alleen alle berichten bij
te houden. En dan om de fixes te testen. En dan in te voeren - hoeveel
weekeinden telt een jaar? De netwerkbeheerders van een groot netwerk vechten
altijd een verloren strijd op securitygebied, en als de norm van HIT2000
gehanteerd wordt, dan kan security als werkveld alleen door kleine en
gespecialiseerde bedrijven gekozen worden, met een klein een overzichtelijk
netwerk. Dat zou op zich wel zo gezellig zijn, zonder brallende consultants,
maar ik denk dat het verder geen enkel belang dient. De realiteit is dat de
securityfreaks bij de bedrijven uit de lijst vooral bezig zijn met het
opzetten van een nieuwe business (of vechten tegen de bierkaai) en dat
intussen de rest van hun organisatie dezelfde fouten maakt als ieder ander.

Zouden de securityspecialisten van grote IT bedrijven zich richten op de
eigen netwerkomgevingen, dan zouden ze geen tijd hebben om ook maar iets
voor hun klanten te doen. Op zich is dat enigszins een afgang, maar het doet
ietwat irreëel aan om te verwachten dat een bedrijf met duizenden
IT-medewerkers een volledig dicht netwerk kan hebben.