- Door
- Jeroen Mulder
- geplaatst op
- 7 mei 2013 08:02 uur
Tussen de talloze persberichten over nieuwe software en systemen die een datacenter nog veiliger maken, viel één bericht op. De kop boven het bericht luidde: ‘Mens belangrijkste oorzaak van downtime’. Uit een onderzoek onder datacenterleveranciers was gebleken dat menselijke falen veruit de meest voorkomende oorzaak was dat systemen onderuit gingen. Voorbeelden: een datacentermedewerker die het verschil niet kent tussen Celcius en Fahrenheit, lostrekken van stekkers of overbelasting van elektrische circuits. Toch maar eens kijken naar de afzender van het bericht. Ah. Een leverancier van pdu’s. Stroomverdelers. Vandaar de opmerkelijke top drie.
Feit is dat er nu eenmaal menselijke activiteiten nodig zijn om een datacenter in de lucht te houden. Maar services off line halen door het pardoes lostrekken van stekkers of overbelasting: dan zit er al in de basisarchitectuur van een center iets gruwelijks fout. Als er iets is dat zelfs een gemiddeld datacenter anno 2013 wel aardig op orde heeft, is het de stroomvoorziening. Uitval – volgens het onderzoek 1 op de 5 gevallen – door stroomonderbreking is ontzettend 1980. Treurig bijverschijnsel: journalistieke kanalen die het bericht klakkeloos overnemen zonder te bedenken dat het wel erg toevallig is dat uitgerekend een fabrikant van stroomverdelers met een onderzoek komt waaruit blijkt dat krakkemikkige stroomverdeling en de bediening van zulks, primaire oorzaken zijn van downtime. Wij van WC-Eend adviseren WC-Eend, dat idee. En nee: ISPAM gaat het bedrijf niet verder noemen in dit artikel.
Cybercrime
En toch: er schuilt een kern van waarheid in het bericht. Menselijk handelen is een belangrijke oorzaak van downtime. Dat is geen nieuws. Maar dat zit niet zozeer in de basisvoorzieningen van een datacenter, maar vooral in de complexiteit van systemen – en dan met name de securitysystemen. De druk op (online)-security is immens, niet in de laatste plaats vanwege de aanhoudende stroom van berichten over (D)DoS-aanvallen en ‘cybercrime’. Voor de goede orde: onverlaten die proberen om andermans spullen kapot te maken of te stelen, zijn van alle tijden. Dat het werkterrein van criminelen zich meer en meer verlegt naar de online-wereld, is niet meer dan een wetmatigheid: online valt er zo langzamerhand meer te halen dan in de reële wereld. Dat moet een goudmijn zijn voor leveranciers van allerlei systemen zoals IPS, IDS, firewalls, proxy-servers, reversed proxy, poortscanners, DMZ-software, etcetera.
Dat is het ook. De hamvraag is alleen: gaat dit helpen? Het antwoord op die vraag is geen simpel en eenduidig ja of nee. Natuurlijk helpt het als een goede firewall de ergste ellende tegenhoudt. Maar een datacenterleverancier moet tegenwoordig veel meer maatregelen nemen om criminaliteit buiten te houden. Zeker als een datacenter privacygevoelige informatie bewaart of met financiële systemen te maken heeft. Het gevolg daarvan is dat met name netwerkinfrastructuur steeds complexer wordt. Een beetje het idee van het Prins Claus-plein voor een beginnend automobilist. Je ziet de betonnen pilaren met een wirwar aan wegen voor je opdoemen en je hebt geen idee welke afrit je nu precies moet hebben. Een ervaren automobilist sorteert daarentegen trefzeker voor op de juiste baan.
ISO
De parallel: een ervaren hacker die snapt hoe netwerken in elkaar zitten, zal zijn weg prima weten te vinden. De uitdaging is om het wegennet zo ingewikkeld te maken – of door regelmatig de bewegwijzering, afritten of rijbanen te verleggen – dat zelfs een ervaren boefje niet zo snel de eindbestemming weet te bereiken. Daarin schuilt ook meteen het grootste – latente – gevaar: juist door die toenemende complexiteit, neemt de fouttolerantie in het beheer van dergelijke netwerken ook toe. Vervolgvraag is dan: is dat te voorkomen? En wederom is het antwoord niet een eenduidig ja of nee. Mensen zijn te trainen. Je kunt beheerders uitstekend leren om via vastomlijnde processen handelingen te verrichten en vooral om deze te laten controleren voordat een handeling daadwerkelijk wordt geëffectueerd ISO-processen zijn op dat principe gebouwd. Maar mensen zijn mensen. Een slechte nacht, zorgen of gewoon een pesthumeur leidden tot concentratieverlies, onachtzaamheid en slordigheden. Het vangnet van de kwaliteitscontrole, zoals voorgeschreven in ISO27001, voorkomt helaas niet alles. Dat kan ook niet.
Is dit een pleidooi om dan niet te investeren in securitymaatregelen, zowel fysiek als procesmatig? Integendeel. Er gaat echter een stap aan vooraf. Dat begint aan de opleidingen, het begint bij het onderwijs. Bewustwording van allerlei mogelijke risico’s en vooral: een zeer gedegen opleiding in kennis over netwerken, netwerksystemen, protocollen, verkeerseigenschappen in de relatie tot beveiliging van systemen. Bedrijven zouden er goed aan doen om meer te investeren in het onderwijs van bijvoorbeeld netwerkarchitecten en securityspecialisten. Zonder een direct commercieel gewin: goed opgeleide mensen zijn immers ook jullie toekomst. Meer dan onzinnige onderzoeken die als verkapte marketing in nog onzinniger persberichten worden verpakt.
