Alexander had die middag nog een rondje gedaan langs zijn vrienden en zij hadden hem verzekerd: het epd is zo lek als een mandje. Wilna verdedigde te vuur en te zwaard dat het huidige epd veel beter was beveiligd dan het vorige en dat deelname aan het epd veel onnodig leed zou kunnen voorkomen. Het decor was toepasselijk: De Wereld Draait Door. Twee werelden die volledig langs elkaar heen praatten.
Beveiligingsdrama’s
In diezelfde periode woonde ik een bijeenkomst bij over beveiliging. Uiteraard bij deze gelegenheid omgedoopt in IT-security. Hier vlogen de voorbeelden van beveiligingsdrama’s uit het afgelopen jaar mij om de oren. Ze zijn grofweg op te splitsen in twee groepen: hackers die op eigen houtje de beveiliging van een instelling kraken en hackers die dat doen omdat ze in de arm zijn genomen door de media, die graag de onveiligheid willen aantonen. Dan schijnt er nog een derde groep te zijn, die in opdracht van laten we maar zeggen schurkenstaten ons hele internet willen platleggen. Die laat ik graag aan James Bond over en laat ik hier even buiten beschouwing.
In de eerste twee situaties hoorde ik dezelfde zin voorbij komen: ‘Gewoon, omdat het kan’. In beide gevallen uitgesproken door experts.
Een handige beroepsgroep
De ict-sector heeft het prima voor elkaar: de ene helft houdt de andere helft in stand en omgekeerd. Programmeurs bouwen systemen die blijkbaar gemakkelijk zijn te hacken en hackers breken ongevraagd in om te laten zien dat het kan. Zo houden ze elkaar lekker bezig, en creëren voor gebruikers een hoge mate van verwarring en onzekerheid.
Stelt u zich de beroepsgroep automonteurs voor. Monteurs zetten een auto in elkaar die blijkbaar heel onveilig kan zijn. Collega automonteurs gaan ’s nachts – in opdracht van Zembla – onder de auto van uw buurman liggen en maken het vehikel onklaar. Autobeveiligingsmonteurs bellen de volgende ochtend bij u aan, wijzend naar de defecte auto van uw buurman, met de woorden: ‘You need protection?’. En het beschouwend vermogen van de vaandeldragers en autoriteiten in de sector reikt niet verder dan: ‘Gewoon omdat het kan!’. Tijd om de auto in te ruilen voor een ov-jaarkaart zou ik zeggen.
Zelfreinigend vermogen
Waar de beroepsgroep behoefte aan heeft, is enig zelfreinigend vermogen. Dat vereist allereerst een prominentere rol voor ict-ethici. Programmeurs zouden de beveiligingsvraag automatisch moeten meenemen in een functioneel en technisch ontwerp: het is hun verantwoordelijkheid, niet die van de gebruiker. Hackers: aan de schandpaal ermee. Inbrekers die met een juten zak het tafelzilver proberen te jatten door over een hek te klimmen, zijn risiconemende helden in vergelijking met die vanuit zolderkamertjes opererende hackers. De ict-securitybedrijven zouden gratis en voor niets hun kennis ter beschikking moeten stellen bij overheidsprojecten als het epd. En vaandeldragers, die de beroepsgroep vertegenwoordigen, zouden zich wat meer ethisch besef moeten aanmeten dan de grondregel ‘Gewoon omdat het kan’. Als ik in de kroeg een passerende struise dame in haar derrière knijp, gewoon omdat het kan, word ik in De Wereld Draait Door toch ook afgebrand op mijn gebrek aan moraliteit?
Zo. Nu als de gesmeerde bliksem mijn NAS loskoppelen, al mijn wachtwoorden wijzigen, mijn facebook-account deleten. Want de hackers weten me te vinden nu…
Wat een eerlijke en juiste , kritische , reactie , waar toch de veranderde benaming van het epd in lsp door de meeste.. NIET-MEDICI.. en regeltjesinstellingen toch als een gewenste en ”omarmde ” garantie ” voor de zogenaamde ”privacy ”van de patientgegevens wordt voorgeschoteld.
Programmeurs hebben de verantwoordelijkheid de opdracht goed (bruikbaar) te programmeren en daarbij zo min mogelijk kosten (uren) te maken. Elke programmeur die zijn verantwoordelijkheid zelfstandig uitbreidt zal in conflict met zijn werkgever komen. Is het dan de verantwoordelijkheid van zijn werkgever (veelal een ICT-consultancy/detacheringsbureau). Nee, als zij veiligheid en daarbij horende kosten in de offerte meenemen, terwijl de opdrachtgever het belang niet ziet dan zal de opdracht naar en andere partij gaan.
De opdrachtgever zal zelf verstand van zaken moeten hebben. Dat vereist investeren in kennis. Die beslissing dient te worden gemaakt door bestuurders vergelijkbaar met mevrouw Wind. Als je met die blik nog eens terugkijkt dan weet je dat de bestuurders niet in staat zijn om hun rol waar te maken en dat de problemen zullen aanhouden.
Programmeurs hebben de verantwoordelijkheid de opdracht goed (bruikbaar) te programmeren en daarbij zo min mogelijk kosten (uren) te maken. Elke programmeur die zijn verantwoordelijkheid zelfstandig uitbreidt zal in conflict met zijn werkgever komen. Is het dan de verantwoordelijkheid van zijn werkgever (veelal een ICT-consultancy/detacheringsbureau). Nee, als zij veiligheid en daarbij horende kosten in de offerte meenemen, terwijl de opdrachtgever het belang niet ziet dan zal de opdracht naar en andere partij gaan.
De opdrachtgever zal zelf verstand van zaken moeten hebben. Dat vereist investeren in kennis. Die beslissing dient te worden gemaakt door bestuurders vergelijkbaar met mevrouw Wind. Als je met die blik nog eens terugkijkt dan weet je dat de bestuurders niet in staat zijn om hun rol waar te maken en dat de problemen zullen aanhouden.