A fool with a tool: schaken in de cloud

Peter Ambagtsheer maakt in een stuk over Viable System Models de referentie naar schaken en daar kan ik me tot op zekere hoogte wel in vinden. De infrastructuur lijkt tenslotte steeds meer op een schaakbord waar klant koning is, de (bedrijfskritische) applicaties de torens zijn, informatie als dame behandeld wordt en de rest als pionnen gezien worden.

De spelregel dat pionnen, met uitzondering van de eerste zet, maar één veld vooruit mogen gaan zorgt ervoor dat we altijd op achterstand staan. Dit geldt in het bijzonder voor de beveiliging van de infrastructuur en de informatie die hierover getransporteerd wordt en in opgeslagen. We leven nu eenmaal in een wereld die steeds verder digitaliseert, waarin informatie en computers onmisbaar zijn geworden. In een dergelijke wereld is het natuurlijk niet vreemd dat we steeds vaker met cybercrime geconfronteerd worden, welke ook nog eens makkelijk te internationaliseren is.
 
Simultaan schaken
Net als bij schaken helpt kennis van openingsstellingen en de daarbij behorende tegenzetten om de kans op verlies te voorkomen. Maar de infrastructuur is aan constante verandering onderhevig en breidt zich ook steeds verder uit omdat gebruikers niet meer gebonden willen zijn aan kantoor. Introductie van nieuwe services zoals sociale media en mobiele applicaties brengen andere stukken op het bord of neemt ze met bijvoorbeeld cloud computing daarvan af. Deze blijven echter wel hun rol spelen in de uitwisseling van informatie waardoor complexiteit en afhankelijkheden steeds meer toenemen. Klant blijft koning en organisaties eisen steeds nieuwe functionaliteiten, welke ook nog sneller en goedkoper geleverd moeten worden. Dit zorgt ervoor dat it alleen nog defensief kan spelen omdat er eerst weer geleerd moet worden. Ervaring maakt de meester maar door alle nieuwe spelsituaties is het soms als simultaan schaken. Hierbij zijn de aanvaller vaak de grootmeesters want creatieve schakers zullen een opening proberen te forceren door een onverwachte zet te doen die nog niet in het boekje staat. En niet zelden zitten deze in een aanval op foutieve code of een fout in het ontwerp waardoor niet alleen een schakel maar de hele keten kwetsbaar wordt.

Wake-up call
Recentelijk zijn we opgeschrikt door spraakmakende beveiligingsincidenten omdat we door het gebruiksgemak vergeten dat er nog een onderliggende technologie is die steeds complexer en daardoor kwetsbaar wordt. Beveiliging van informatie wordt daarom steeds belangrijker maar de bekende ITSM-methodieken besteden hier onvoldoende aandacht aan. Bij sommige organisaties, en helaas bij veel overheden, is het proces van beveiliging vaak ook nog eens onvolwassen. Ad hoc komt er eens een keer een specialist langs om voor de bewustwording een audit uit te voeren. Maar mijn ervaring met de grote namen in deze industrie leert dat dit veel weg heeft van een blinde die de manke leert lopen. Onervaren consultants vinken gericht op deeloplossingen lijstjes af terwijl de werkelijke risico's in de nog verborgen fouten zitten. Veel meer waarde hebben dan ook de penetratietesten waarbij niet alleen de kwetsbaarheid onderzocht moet worden maar ook de response hierop.

Nu zijn de servers in het perimeter netwerk meestal wel goed beveiligd en liggen zwakheden vaak in het interne netwerk waar servers en applicaties via een ‘next, next, finish' proces ingericht worden. Hierdoor blijven niet alleen onnodige services geactiveerd maar door virtualisatie ook vaak de slecht beveiligde maar ongebruikte testsystemen. Deze worden echter vaak buiten het bereik van een audit of penetratietest gehouden terwijl door ‘het nieuwe werken', uitbestedingen en overnames de scheidslijn tussen de boze buitenwereld en het veilige interne netwerk steeds troebeler wordt.
 
Bokkensprongen
Ondertussen wordt alweer de volgende uitdaging geïntroduceerd in de infrastructuur met het 'bring your own device (byod)' idee omdat de standaard werkplek te dwingend zou zijn. Daardoor worden veel beveiligingsmaatregelen nutteloos omdat nauwelijks te voorkomen valt dat infrastructuur geïnfecteerd wordt met een virus als Stuxnet of de Duqu-malware variant. Een meegebrachte usb-stick of geheugenkaart kan dan bron zijn maar ook het Trojaanse paard om passief informatie te verzamelen. Met de credentials van een gebruiker, liefst met administratieve rechten wordt zo eenvoudig over de pionnen ter bescherming van de infastructuur heen gesprongen. En ook een gehackte blackberry kan helpen om informatie te verzamelen van je concurrent. Informatie ligt namelijk al lang niet meer besloten in de infrastructuur maar gaat en komt van alle kanten. Aantal bedreigingen beginnen daarom steeds meer op de legende te lijken waar de uitvinder van het schaakspel als beloning een rijstkorrel op het eerste veld en een verdubbeling op elk volgende vraagt.

Natuurlijk zullen de gebruikelijke maatregelen ter bescherming van de infrastructuur genomen moeten worden. Maar als de klant koning blijft dan zullen incidenten onvermijdelijk zijn als gebruikers zich niet bewust zijn van de risico's maar wel gebruik maken van eigen computers en de laatste gadgets. Een informatie beveiligingsbeleid is uiteindelijk vaak niet meer dan een stuk papier en naleving zal actief bewaakt moeten worden. Dat afdwingen wordt steeds moeilijker omdat gebruikers zich niet altijd binnen het eigen netwerk bevinden maar maken ook gebruik van breedband verbindingen thuis of mobiel internet onderweg. En op kantoor beperken ze zich niet alleen tot de eigen systemen maar gebruiken ook services in de cloud. Gebruikers doen dus niet altijd wat verwacht wordt en deze zullen daarom de zwakke schakels in de keten blijven maar wordt vooruit denken steeds moeilijker.

Volgende zet
Focus moet daarom verschoven worden en dus moet er niet alleen naar de service gekeken worden zoals ITILv3 stelt maar ook op het gedrag van gebruikers gelet worden. Door mee te kijken met de gebruiker kunnen verstoringen of afwijkingen sneller gezien worden en wordt het eenvoudiger om te bepalen waar de oplossing gezocht moet worden. Gebruikers kunnen namelijk ook thuis verstoringen ondervinden, met services in de cloud of op hun tablet en zo worden veel vragen voorkomen. Hoewel het controversieel klinkt om spyware te gebruiken zullen we net als in het schaakspel moeten leren van de grootmeesters. Zeker nu bekend is geworden dat opsporingsinstanties deze software ook gebruiken mag ook afgevraagd worden of deze nog wel goed herkend worden door de gebruikelijke tegenmaatregelen.

Misschien moeten we dan ook het idee los laten dat we het spel nog kunnen winnen en is remise de best mogelijke uitkomst. Want hoe sterker de verdediging in het (data)centrum hoe eerder de aanval vanaf de flanken komt. Maar pionnen mogen ook en passant slaan en deze zet zorgt ervoor dat we voorbij gelopen worden door onnadenkende gebruikers. Internet zit tenslotte vol gevaren waar je nooit weet wie er meeluistert maar kunnen we ook niet meer zonder.

Cloud marktwerking

Gedwongen door de markt kan niemand het zich permitteren om alle verschillende ontwikkelingen te negeren. En dus is erveel aandacht voor cloud computing als het nieuwe delivery model. Want de vraag naar snellere, goedkopere en efficiëntere inzet van ict kan niet meer beantwoord worden met een monolithisch systeem.





Het ligt dus voor de hand dat we dus niet met een product komen, maar ons vooral richten op de processen. Want ook al promoten vele it-leveranciers cloud computing als ‘revolutie’, zonder convergentie van visie en doelstelling zal dit de kloof tussen de business en it niet dichten. De enige echte omwenteling is dat de business bepaalt welke applicaties en diensten er nodig zijn. En deze hebben door de vele delivery-modellen daarin een enorme keuzevrijheid gekregen.

Terwijl de druk om kosten te reduceren toeneemt, is er tegelijkertijd een groei in de vraag naar ict. Dit zorgt voor een spanningsveld tussen de business en it. Zeker organisaties die it als facilitair zien, overwegen dan ook uitbesteding. Maar zonder de technologie te integreren in de bestaande bedrijfsprocessen, wordt deze optie bijna altijd jammerlijk overschat. Want uiteindelijk blijven de beheerdisciplines uit de tijd van monolitische systemen ook voor de nieuwe delivery-modellen onveranderlijk van kracht. 

Release of relatiemanagement

Elke organisatie heeft een geformaliseerd proces dat vastlegt wat wordt aangeschaft in de infrastructuur. Ook wel bekend als configuratie management, met bijbehorende configuratie management  database (CMDB) als centraal register. Door veranderingen in technologie en fusies begint dit systeem echter duidelijk barsten te vertonen waardoor het zicht op de infrastructuur vertroebeld wordt en er niet altijd weloverwogen beslissingen genomen worden. 




Maar misschien moet ik iets uitleggen over de configuratie database, of beter gezegd de veelheid van databases. Een centrale repository, die gebruikt kan worden als betrouwbare bron ontbreekt vaak of is niet volledig. Wel zijn er allerlei verschillende databases, onderdeel van diverse beheeroplossingen die data verkrijgen uit de management interfaces van de infrastructuur. Maar uitwisseling van informatie tussen deze databases i s vaak slecht waardoor de stukjes van de puzzel verspreid zijn. Op de verschillende lagen van it-organisaties kon je dan ook de bekende en altijd aanwezige Excel lijsten tegen die gebruikt worden voor het uitvoeren van de dagelijkse activiteiten. Als deze lijsten worden gedeeld en betrouwbaar zijn is dat niet zo'n probleem. Maar vaak zijn ze onvolledig, achterhaald of irrelevant, eigenlijk dus net als de configuratie database.

Cloud Computing als business enabler

Iedere leverancier van ict-diensten en ict-middelen gebruikt tegenwoordig wel het begrip 'cloud computing' als een business enabler in zijn aanbiedingen. Maar elke aanbieder heeft ook een eigen variatie hierop waardoor er net als in de meteorologie dus vele soorten ‘wolken’ zijn met ook elk hun eigen karakteristieken. Het vraagt dus een ict-meteoroloog om door al deze wolken heen de lucht nog te kunnen zien.

Zoals Ramnath K. Chellappa al in 1997 stelde is Cloud Computing: 'Een computerparadigma waarbij de grenzen eerder worden vastgesteld door het economische aspect dan de technische limieten.' Het is dus vooral een delivery model dat verder gaat dan de binaire keuze tussen ‘zelf doen’ of ‘uitbesteden’.

Maar dat vraagt een andere kijk op de Infrastructuur dan we nu gewend zijn. Of de vlucht naar uitbesteding werkelijk uit economische redenen genomen wordt is twijfelachtig. Dit omdat de mogelijkheid om kosten en baten van een service(keten) te wegen simpelweg vaak ontbreken. Op zijn best wordt er een afweging gemaakt op grond van omslag maar meestal is het uit organisatorische redenen.