Een interessante vraag voor een security nieuwsbrief is natuurlijk wat het
nut ervan is. Kracht zit immers veelal in het kennen van de beperkingen. Een
reactie op security nieuwsbrieven is toch vaak van ja, dit is allemaal leuk
en aardig maar zonder een kader van securitybeleid en -visie heeft een
bedrijf erg weinig aan een collectie losse berichten. Het hacken van een
netwerk is meestal eenvoudiger door een configuratiefout of social
engineering, dan door een bug die in een willekeurige list een aantal
maanden eerder besproken is. Een security nieuwsbrief heeft een beperkte
doelstelling en een beperkt nut: het is primair van belang voor mensen en
organisaties die eigenlijk de zaken goed op orde hebben, maar bij moeten
blijven om de puntjes op de i te zetten. Het lastige met securitybeleid is,
dat als je een steek laat vallen, het geheel opeens zonder waarde lijkt, je
bent immers gehacked. En dan, zeker als de normale pers erbij komt, maakt
het niet meer uit of het om een niet kritisch systeem in een apart netwerk
gaat of niet, de bedrijfsnaam hangt er aan, dus is het bedrijf gehacked. Dat
de organisatie op dat moment verongelijkt roept dat het systeem dan wel
gekraakt is, maar niet van belang is, of erger nog, door een ander bedrijf
gehost en beschermd wordt, maakt niet echt meer uit. Het psychologisch
krachtenveld rondom security-zaken wordt echter zelden onderkend, dat gedoe
met al die computers en touwtjes die dan nog eens allemaal verschillend zijn
en door verschillende personen beheerd wordt, is al complex genoeg. De
meeste techneuten zijn ook niet geïnteresseerd in PR aspecten. Daar zijn
immers andere specialisten voor.

Het toepassen van de fixes op systemen zoals in de diverse security
advisories wordt aanbevolen is alleen de laatste stap in een lange keten van
analyse en werkzaamheden. Bottom line: wat heb je aan een BugTraq of
berichten op security.nl als je niet eens kan vaststellen of je bepaalde
producten in huis hebt, of erger nog de prioriteiten die je moet stellen.
Het antwoord: heel erg weinig. Als je deze vragen met ja of bijna kunt
beantwoorden, bespaart een security digest je heel veel tijd. Hopelijk
dragen de bestaande nieuwsvoorzieningen er toe bij dat steeds meer
organisaties deze vragen positief kunnen beantwoorden, omdat ze wel zullen
bijdragen aan de awareness omtrent de problematiek, hoewel indirect.

Ik zou alleen niet zo goed weten hoe een nieuwsverzameling te combineren met
dergelijke achtergronden, zonder, net als een zaterdagkrant, met een
kleurenbijlage, achtergrondanalyses en uitgebreide commentaren te komen. Het
brengen van de nieuwsberichten zonder al te veel uitleg is een keuze die
meestal gemaakt wordt door e-zines, en is inherent aan het medium. Hierdoor
worden absoluut kansen gemist en worden de zaken niet altijd zo helder als
ze eigenlijk zouden moeten zijn.