 |
| Foto van auteur |
Ingrediënten: witte bonen 61%, water,
tomatenpuree 16%, suiker, zeezout, natuurazijn, maiszetmeel, natuurlijk
kruidenaroma. Aldus het achteretiket van de pot die aan de voorkant ‘witte
bonen in tomatensaus’ heet. Past dit product in een zoutarm dieet? Geen idee,
want daar hoeft mijn gezondheid zich gelukkig niet druk om te maken. Maar als
het ooit wel nodig zou worden, dan wil ik graag op het etiket van welk product
dan ook lezen of er zout in zit, en liefst ook nog hoeveel.
Het
is puur toeval dat ik net als vorige week wederom in de conserven zit – ik
overweeg geen overstap naar die industrie, noch ben ik gevraagd om hun
producten te promoten (eet vooral ook verse groente mensen!). Maar ik ben nu
eenmaal van de metaforen, en zo’n pot groente blijkt dan een dankbaar object te
zijn.
Meestal
zal het je een biet wezen wat er behalve witte bonen en tomatensaus nog meer in
een pot witte bonen in tomatensaus zit, behalve als je een specifieke reden
hebt, zoals een doktersadvies. En dan ben je blij dat het allemaal op het
etiket staat.
En
wat blijkt nou? Met ICT is het net zo. Zolang alles goed gaat, boeit het
niemand welke programmeertaal, welk framework en welke libraries er zijn
gebruikt, welke open source-componenten erin zitten of op welk platform het
systeem draait. Maar als plotseling begint rond te zoemen dat een bepaald,
breed gebruikt ingrediënt een ernstige kwetsbaarheid bevat, dan wil je opeens
heel graag weten of dat ingrediënt in jouw systemen voorkomt. Want je wilt zo
nodig overstappen op een zoutarm dieet, of je wilt het zeezout vervangen door
gewoon keukenzout, of misschien moet je wel – al dan niet tijdelijk –
overstappen op sperziebonen.
Wat
voor levensmiddelen het etiket is, dat is voor ICT de SBOM: de Software Bill of
Materials, de lijst van componenten die in het product zijn verwerkt. Toen in
december 2021 bekend werd dat Log4j een ernstige kwetsbaarheid bevatte, was de
wereld in rep en roer. Log4j is namelijk zo’n soort zout, dat in heel veel
producten wordt gebruikt. Als je op een dag hoort dat er verontreinigd zout is
gebruikt, dan wil je als fabrikant meteen weten welke van jouw producten dat
zout bevatten, zodat je de juiste producten uit de supermarkten kunt terughalen
en je productieproces kunt stoppen totdat je over een lading schoon zout kunt
beschikken.
Nou
kwam mij ter ore dat de beheerders van sommige systemen ervan uitgaan dat
Security wel weet welke componenten in welk product zitten, en bij hen alarm
slaat als er iets aan de hand is met zo’n component. Maar zo werkt het natuurlijk
niet. De Nederlandse Voedsel- en Warenautoriteit weet ook niet in welke
producten de conservenfabriek zout verwerkt. Ze kunnen alleen alarm slaan als
er een slechte batch is geleverd. Het is dan aan de fabrikant om na te gaan in
welke producten dat zout kan zijn terechtgekomen en de juiste maatregelen te
treffen. Bij ons, in de ICT, is het net zo. Security weet als er iets mis is,
maar de beheerder moet weten of zijn systeem daardoor wordt geraakt en of hij
in actie moet komen. Natuurlijk zal er bij grote toestanden altijd coördinatie
plaatsvinden, maar je blijft wel verantwoordelijk voor je eigen systeem.
Het
is de oplettende lezer wellicht opgevallen dat ik het hierboven steeds over
systemen en producten heb, terwijl de s in SBOM toch voor software staat. Maar
waarom zou je een ingrediëntenlijst beperken tot software? Ook
hardwarecomponenten kunnen kwetsbaar zijn, zoals Meltdown en Spectre, allebei
kwetsbaarheden in bepaalde CPU’s, in 2018 pijnlijk duidelijk maakten. Je wilt
dan natuurlijk wel weten of jij apparatuur hebt waar de kwetsbare processoren
in zitten. Nou, gelukkig bestaat ook zoiets als de HBOM: de Hardware Bill of
Materials. Liefst zou je daar alle componenten in terug willen zien, tot op het
kleinste chipje. Ik weet alleen niet of fabrikanten daar met alle plezier aan
willen meewerken, want de concurrenten lezen natuurlijk mee. Dat hoeft niet per
se een probleem te zijn, als je erop aankunt dat de fabrikant zelf zijn BOM’en
op orde heeft én daar ook zijn klantenbestand aan heeft gekoppeld én ook de
communicatie goed is ingericht. Dat kun je allemaal contractueel afspreken. In
je CBOM.
En in de grote boze buitenwereld …
- kun je AI natuurlijk ook gebruiken om biologische wapens te maken.
- jat AI artikelen van journalisten.
- is het tijd om af te rekenen met deepfakes.
- leidde een hack tot het per ongeluk vrijlaten van een moordverdachte.
- vrezen grote bedrijven de AI Act, maar Europa houdt de poot stijf.
- probeert een Indiaas hackbedrijf wereldwijd via rechters negatieve publicaties te voorkomen.
- schuilt er een risico in .lnk-bestanden.
- werkt een update soms averechts.
- is er gedoe over verificatie door LinkedIn (en dat leidt tot discussie in de commentaren onder dit
- stukje).
- doe je er goed aan om een familiewachtwoord af te spreken, in de strijd tegen deepfakes.
- haalt Nederland de deadline voor de NIS2 niet.
Geen opmerkingen:
Een reactie posten