Veiligheid is belangrijker dan ooit. Hoe hoger de eisen voor systemen en hoe meer complexe processen worden ingezet, des te crucialer wordt het om die ook goed te beveiligen. Tijdens Oracle World spraken we met Mary Ann Davidson, Chief Security Officer Oracle Corporation, over beveiliging en Oracles boude uitspraak over de "Unbreakable Linux".
Beveiliging is nog steeds een ondergeschoven kindje bij veel bedrijven, terwijl er genoeg voorbeelden te noemen zijn waarbij het goed mis is gegaan. En toch zijn we hardleers en vinden we het belangrijker dat een product op tijd bij de klanten ligt dan dat de beveiliging honderd procent in orde is.
Zo niet bij Oracle, als het aan Mary Ann Davidson ligt: "Als wij onze producten zouden leveren voordat de beveiliging waterdicht is, dan zouden we onze belofte van Unbreakable Linux niet kunnen waarmaken. Wij kunnen ons dat absoluut niet veroorloven. Voordat onze producten geleverd worden, moeten ze voldoen aan diverse beveiligingsrichtlijnen, zoals NSTISSP #11. Ik laat me niet van de wijs brengen door externe factoren, ook al eist de markt dat je op tijd levert. Dat de levenscycli van producten korter worden, is niet bevorderlijk voor de veiligheid. Verder komen er ook steeds meer beveiligingsmodellen, waar niet ieder bedrijf zich aan wil houden. Nogmaals, het op de markt brengen van het product wordt vaak belangrijker gevonden. Men heeft een houding van ‘anders kunnen we het product nooit uitbrengen’. En laten we de belangrijkste factor niet vergeten waarom veel producten steeds minder betrouwbaar worden: er komen alsmaar meer hackers, die steeds slimmer worden en met geavanceerdere tools gaan werken. Dat bevordert de beveiliging ook niet, hoewel ik denk dat je daar lering uit moet trekken en ook hackers moet vragen om je product te testen."
DNA
Het klinkt natuurlijk erg mooi, maar bedrijven zullen toch eerder hun klanten tegemoet willen komen met een product dan met veiligheid? Helaas, maar waar. Davidson: "Dat lukt natuurlijk ook niet in één keer. Bedrijven zijn wat dat betreft net grote olietankers. Als je daar aan het roer trekt, duurt het een tijdje voordat de tanker ook daadwerkelijk beweegt. Het management kan wel willen, maar als de organisatie langzaam reageert, schiet je er dus nog steeds niets mee op. De bedrijfscultuur bepaalt de koers van het proces, de mensen, de plannen en het beleid. Je zult dus wat aan de bedrijfscultuur moeten doen om de beveiliging te kunnen verbeteren. Ik zeg altijd dat beveiliging in het DNA van het bedrijf moet zitten. Alleen dan weet je dat iedereen met hetzelfde bezig is, namelijk veilige producten maken. Bij Oracle heeft iedereen in het productieproces een controlelijst over veiligheid. Iedereen weet dus wat hij moet doen om de veiligheid in acht te nemen. We hebben daar erg goede ervaringen mee en iedereen is op deze manier nauw betrokken bij het product. Daarom moet beveiliging een deel van de bedrijfscultuur van het bedrijf zijn en haar weerslag vinden in de plannen, het beleid en de processen."
Onbreekbaar?
Veiligheid klinkt erg mooi, maar is helaas vaak relatief. Wat is volgens Davidson ‘veilig’? "Ik heb me gecommitteerd aan de term ‘Unbreakable’, wat inhoudt dat ik ervoor zorg dat onze kwaliteitsproducten veilig zijn. En dat is niet alleen omdat we er mee adverteren, maar omdat we dat echt geloven en dat blijven we ook doen lang nadat de campagne gestopt is. Veel van onze klanten behoren tot de veiligste van de wereld [CIA, red]. Die kunnen zich niet veroorloven om met databases te werken die niet veilig zijn. Ik voel me daar zeer verantwoordelijk voor en ik zal er dan ook alles aan doen om te zorgen dat de producten niet te kraken zijn. We huren hier regelmatig een team van hackers voor in die ons op eventuele fouten wijzen."
Is een term als Unbreakable niet heel erg fragiel voor een veilig product? "Ja, maar het legt meteen ook een druk op ons om daadwerkelijk veilige producten te maken. Niemand bij Oracle wil Unbreakable breekbaar maken. Iedereen voelt zich daar verantwoordelijk voor. Het zit dus in onze bedrijfscultuur ingebakken. Iedereen is zich heel erg bewust van waar we mee bezig zijn. We moeten het elke keer blijven waarmaken. Dit bewustzijn is ook een van de grote problemen die we bij klanten zien. Er is nog niet genoeg bewustzijn dat je veilige producten moet gebruiken. Wij blijven daar op hameren. Nogmaals, men levert liever snel een product af dan te werken aan langdurige veiligheid. Dat kost nu eenmaal veel geld en tijd, en dat hebben sommige bedrijven er niet altijd voor over. Die gedachtegang moeten we doorbreken en het bewustzijn moet verhoogd worden. Anders zijn de gevolgen niet te overzien."
Fjodor Gransjean freelance medewerker