Vaak wordt gezegd dat de monocultuur van Microsoft Windows een groot beveiligingsrisico is, maar volgens beveiligingsexpert Marcus Ranum is dat klinkklare onzin. Ranum en beveiligingsgoeroe Bruce Schneier herhaalden onlangs een discussie die ze zeven jaar geleden begonnen, toen Schneier en verschillende anderen, waaronder Daniel Geer en Peter Gutmann, een essay over het gevaar van monocultuur in computeromgevingen publiceerden. Met name Microsoft vormde volgens de groep een grote bedreiging.

Het monocultuur idee gaat echter helemaal niet op voor computers, aldus Ranum, die nu bijval van Schneier krijgt. De Storm worm wist tussen de één en tien miljoen machines te infecteren, van de meer dan een miljard Windows machines op het internet. Sommige machines draaien virusscanners, gebruiken beveiligde configuraties, bevinden zich in andere netwerken of zijn gepatcht. Zelfs een homogene omgeving verschilt nog behoorlijk onderling.

Kosten
Het tweede probleem met de monocultuur analyse is dat het de kosten van diversiteit bagatelliseert. "Het zou fantastisch zijn als een bedrijf de helft op Windows en de andere helft op Linux draait, of de helft op Apache en een helft Microsoft IIS", merkt Schneier op. Dit brengt meer kosten met zich mee en vereist ook meer expertise. "Een enkel besturingssysteem beveiligd door experts is veel veiliger dan twee besturingssystemen beveiligd door systeembeheerders die geen expert zijn."

Diversiteit
Daarnaast is de hoeveelheid diversiteit die twee besturingssystemen, of routers van drie leveranciers geven, beperkt. Een echte diverse omgeving bestaat uit honderden verschillen. Een omgeving met twee of één systeem maakt dan ook weinig verschil. "Erger nog, aangezien de veiligheid van een netwerk voornamelijk de beveiliging van de componenten is, is een divers netwerk minder veilig omdat het kwetsbaar is voor aanvallen tegen elk van de heterogene onderdelen", laat Schneier weten.

Hij merkt op dat sommige monocultuur in netwerken noodzakelijk is. "Zolang we met elkaar communiceren, moeten we allemaal TCP/IP, HTML, PDF en andere standaarden en protocollen gebruiken die interoperabiliteit garanderen." Hoewel Schneier zijn visie iets heeft aangepast, blijft hij kritisch. "Monocultuur is gevaarlijk en diversiteit is belangrijk. Maar het investeren van tijd en moeite om ervoor te zorgen dat onze bestaande infrastructuur veilig is, is nog belangrijker."

Organisme
Ranum blijft achter zijn oorspronkelijke standpunt staan. De monocultuur vergelijking gaat volgens hem helemaal niet op voor IT-omgevingen, omdat computers geen organismen zijn. "Computers falen zoals computers, en organismen falen zoals organismen, een overeenkomst tussen de twee is grotendeels toeval."

Sommige tegenstanders van een monocultuur beweren dat een gedeeld lek in de omgeving, voor gigantische problemen binnen de kritieke infrastructuur kan zorgen. Toch is dit nooit voorgekomen. "Waarom niet? Omdat elke computer en netwerk anders beheerd, gepatcht, beveiligd en gerouteerd wordt." Ranum wijst ook naar het boek "Normal Accidents" van Charles Perrow, waarin wordt verklaard waarom monocultuur geen probleem is.

Volgens de beveiligingsexpert was de discussie zeven jaar geleden vooral een aanklacht tegen de dominantie van Microsoft. "Ik weet dat alle auteurs Mac-gebruikers waren. Ik vermoed dat beveiliging niet echt het probleem was, maar de frustratie die Mac-gebruikers tien jaar geleden voelden." Inmiddels is het technologielandschap veranderd en wordt ook Apple veel gebruikt. Dat heeft met marktdynamiek te maken, merkt Ranum op. "Als één partij de markt domineert met te dure producten en niet innoveert, dan wordt een goedkoper en mooier alternatief aantrekkelijk."