Veel it-spelers vertonen onvolwassen gedrag en zijn allergisch voor normen en verantwoordelijkheid. Maar het speelveld verandert en wie zich niet aanpast, zou wel eens vlot buiten spel kunnen staan.
Minister Ferd Grapperhaus zegt in te willen grijpen als beveiliging op cruciale momenten tekortschiet. Wie werkt in industrieën als de evenementenbranche, de voedselindustrie, de zorg, de onderwijssector, de bouw, scheepvaart, luchtvaart, of landbouw is inmiddels wel gewend aan die rol van de overheid. Maar sommige it-leveranciers waarschuwen dat dit kan leiden tot het afvinken van lijstjes en ‘dat moeten we met z’n allen niet willen’. Liever komt iedereen met een eigen methodiek
Dergelijke uitspraken zijn erop gericht IT als voodoo-industrie overeind te houden. Stel je toch voor dat we anders slecht of niet ontworpen en geprogrammeerde software moeten gaan aanpakken, of netwerken goed moeten gaan ontwerpen, of bij beheer alle administraties kloppend moeten krijgen en andere basics op onze lijstjes moeten zetten. Bij veel beveiligingsincidenten zie ik dat wij keer op keer dezelfde fouten maken. Daarom geven goed doordachte lijstjes inzicht in risico’s en processen.
In de luchtvaart is een dergelijke hautaine werkwijze ondenkbaar. Door stelselmatig normering toe te passen en lijstjes af te werken worden oude (dodelijke) fouten niet opnieuw gemaakt. Welke rechtvaardiging hebben wij om ons als industrie te verzetten tegen het op orde te krijgen van de basiskwaliteit? Onze samenleving is van IT afhankelijk. Falen is vaak zeer schadelijk, kostbaar en kan een organisatie (tijdelijk) platleggen. Problemen raken de fysieke werkelijkheid.
De 737 Max van Boeing maakt dat probleem op zeer pijnlijke wijze zichtbaar. Het vliegtuig is zo ontworpen dat de aerodynamische features bij normaal gebruik leiden tot een ‘stall’, waardoor het toestel zou neerstorten.
De oplossing is een stukje software dat de neus naar beneden drukt als dit probleem optreedt. De makers van de software hebben onvoldoende nagedacht over de mens-machine-interface. De toezichthouder toetst het systeem inmiddels als geheel onvoldoende. Dat kon niet voorkomen dat twee toestellen zijn gecrasht, resulterend in 346 dodelijke slachtoffers.
Een testpiloot meldt dat hij in een vroeg stadium serieuze zorgen heeft geuit. De reactie van Boeing? Die betreurt vooral het verhaal van de klokkenluider, los van de honderden doden.
Beveiligingsonderzoeker Chris Kubecka ontdekt it-zwakheden die volgens haar invloed kunnen hebben op het functioneren van het vliegtuig. De vliegtuigbouwer benadrukt bij ieder mediamoment ‘haar dankbaar te zijn’ om vervolgens de problemen te bagatelliseren met uitspraken als ‘in andere industrieën komen deze lekken ook voor’.
Het is duidelijk dat deze houding geen toekomst heeft. De industrie moet volwassener worden. Gebeurt dat niet goedschiks dan zal dat kwaadschiks gaan. Na de AVG zal de Europese Cyber Security Act veel partijen heldere normen opleggen. Geen zelfverzonnen normen, maar breed geaccepteerde.
Wie daar niet aan voldoet, plaatst zichzelf buiten de markt. Wie zich blijft verschuilen achter vermeende eigen superioriteit en wie blijft roepen dat we ‘dat niet moeten willen’ krijgt als antwoord ‘dan had je in Europa moeten meepraten’. Er is in onze industrie geen plaats meer voor IT-pubers.