Dus u wilt een firewall… maar wilt u ook iets beveiligen?

Jan-Willem Sipman
Placeholder for Jan willem sipmanJan willem sipman

Jan-Willem Sipman , Sales Director & Sustainability Lead , Nomios Nederland

1 min. leestijd

Share

Na weer een reeks lek-incidenten (Explorer), kransslagaderlijke bloedingen (Heartbleed) en andere levensbedreigende incidenten met Pacemakers en Verkeerslichten zie ik de media weer volschieten met stomverbaasde, verontruste en vooral verontwaardigde berichtgeving over hoe het mogelijk is dat alles zo slecht beveiligd is. Nu moet ik u eerlijk zeggen dat ik me helemaal groen en geel begin te ergeren aan dit herhalende schijngetreur en dan vooral de bijkomende naïeve gedachte die leeft dat iemand anders wel zorgt voor uw veiligheid…

Wat ik bedoel: als je echt wilt dat de deur op slot zit, moet je niet aan een vreemde vragen om hem voor je op slot te doen; Dan moet je niet de sleutel onder de mat neerleggen en moet je niet het raam open laten staan. En hoe logisch dit allemaal ook klinkt, als het om ICT gaat lijken we hier ineens heel anders tegen aan te kijken. Een paar voorbeelden:

Een eerste voorbeeld:

Ik was laatst bij een chique accountancy-kantoor dat de boekhouding begeleidt voor een paar-honderd klanten. Ik had een afspraak met de IT-manager om mijn voorstel voor de vervanging van een firewall te bespreken. Bij aankomst in het mooie, chique kantoor werd ik bij de deur begroet door de beveiliging, een vriendelijke receptioniste en ik mocht wachten op een mooie fauteuil tot ik werd opgehaald. De IT-manager vertelde me: “Jan Willem, ik heb slecht nieuws. Ons management heeft besloten niet in te gaan op je voorstel.”

Toen ik vroeg waarom niet antwoordde hij: “Ik wil wel een firewall, maar ik zoek geen hoogwaardige dure beveiliging meer, onze klanten willen of kunnen daar namelijk niet voor betalen en ik heb er de tijd en de mensen niet voor. Ik zoek een simpele en beheersbare oplossing die de ergste bedreigingen afweert. Onze belangrijkste en meest gevoelige databases hebben we toch al veilig via een applicatie van een XaaS-aanbieder naar medewerkers en klanten ontsloten en buiten ons eigen datacenter gezet.

Een hele valide opvatting, voor iemand, die als dienst heeft de volledige boekhouding en administratie te faciliteren… maar misschien ook wel een beetje vreemde gedachte in een land waar zelfs een brakke oma-fiets al met een vuistdikke ketting op slot word gezet.

Een tweede voorbeeld:

Nog niet zo gek lang geleden raakte ik in gesprek met de IT-manager van een applicatie-ontwikkelaar en XaaS-leverancier. Ik stond een aantal dagen later in de lobby van een groot bedrijfspand waar ik bij de deur opgevangen werd door de beveiliging, een poortje door moest en even mocht wachten tot ik werd opgehaald. De IT-manager vertelde me, dat hij op zoek was naar een nieuwe firewall en dat hij graag naar een bepaald merk wilde kijken. Op mijn vraag waarom hij naar dat merk wilde kijken zei hij: “Nou de huidige Firewall hebben we min of meer geërfd van de vorige IT Manager, die heeft hem ooit uitgezocht, maar we hebben nu de kennis niet meer en hebben eigenlijk nooit echt de tijd gehad om ons er in te verdiepen. Het merk dat we nu overwegen kennen de system engineers wel en dat werkt prettig”.

Toen ik vroeg: “Kun je me aangeven wat jullie nu zoal met de firewall doen, waarvoor deze wordt ingezet en welke functionaliteit(en) er in gebruik zijn?” keek hij me vragend aan en zei:“Ik kan je een uitdraai van de config laten sturen”. Wat bleek, het bedrijf gebruikte de firewall alleen om de eigen kantooromgeving te beveiligen. De IT-manager zei dan ook: “Ik wil wel een firewall, maar ik zoek geen hoogwaardige dure beveiliging, onze klanten willen of kunnen daar namelijk niet voor betalen en ik heb er de tijd en de mensen niet voor. Ik zoek een simpele en beheersbare oplossing die de ergste bedreigingen voor me afweert. Ik heb mijn belangrijkste applicaties en databases toch al veilig bij een hoster in de cloud gezet”.

Een hele valide opvatting, voor iemand, die als dienst levert om voor u één of meerdere applicaties en databases op te tuigen, maar misschien ook wel een beetje vreemde gedachte in een land waar zelfs het achterommetje ’s avonds dubbel op de knip wordt gezet.

Nog een laatste voorbeeld:

Een aantal maanden geleden werd ik benaderd door een grote hosting provider die me vroeg om met hem mee te denken over een security oplossing. Ik kwam in een mooi nieuw datacenter waar ik me bij een dik Heras hek moest melden, bij de deur mijn rijbewijs af moest geven en door drie poortjes moest voordat mijn afspraak met de Netwerk Architect begon. Aanleiding: het bedrijf was in het weekend aangevallen en maar liefst 183 websites op het platform van de provider waren gehackt. De beste man in kwestie was het hele weekend bezig geweest eigenhandig één voor één de servers van de aangesloten klanten te rebooten; maar tegen de tijd dat hij klaar was viel steeds de eerste al weer om. Oorzaak, aldus de architect; de aangesloten klanten updaten hun software niet of te weinig.

Toen ik vroeg aan hem wat hij nu precies wilde beveiligen zei hij: “Ik wil alleen een simpele firewall; ik zoek geen hoogwaardige dure beveiliging, onze klanten willen of kunnen daar namelijk niet voor betalen en ik heb er de tijd en de mensen niet voor. Ik zoek een simpele en beheersbare oplossing die de ergste bedreigingen voor me afweert. Ik heb mijn omgeving volledig gevirtualiseerd en als er iets plat ligt spin ik toch gewoon een nieuw VM-etje op en boot ik een nieuwe server.”

Een hele valide opvatting voor iemand, die als dienst levert om voor u één of meerdere serverracks op te tuigen om uw websites of applicaties op te hosten. En ik vraag me ondertussen stilletjes af…

Dus u wilt wel een firewall… maar wilt u er eigenlijk ook nog iets mee beveiligen tegenwoordig?

Meld je aan voor onze nieuwsbrief

Ontvang het laatste security nieuws, inzichten en markttrends in jouw inbox.

Artikelen

Meer updates