07-12-2010

De lessen van Wikileaks

Zo vormt Wikileaks een boeiende casus voor wie geïnteresseerd is in cloud computing. De tot op heden tevergeefse inspanningen van de Amerikaanse overheid om Wikileaks uit de lucht te halen, zijn een mooie illustratie van de kracht van “the cloud”.

Ondanks de inzet van de volledige politieke en diplomatieke kracht bezwijkt de website vooralsnog niet. Als er sprake was geweest van traditionele hosting, dat wil zeggen een rijtje servers ergens in een datacentrum, dan was de site allang uit de lucht gehaald. En daar is geen stealth bommenwerper voor nodig. Naast digitale sabotage zijn ook politieke en financiële dreigementen heel effectief als je ze kunt richten aan het adres van die ene hostingaanbieder. Maar in de cloud is Wikileaks als de Hydra van Lerna: een ongrijpbaar, veelkoppig monster waarvan elke afgehakte kop dubbel teruggroeit! In architectuurtermen zou je kunnen zeggen dat de cloud hier niet beperkt is tot de technologielaag, maar ook op de businesslaag vertegenwoordigd is. De vele koppen van het monster zijn dan de wereldwijd verspreide sympathisanten (waaronder inmiddels zelfs onze eigen publieke omroep) die zogenoemde mirrorsites opzetten.

Zo’n veelkoppig monster kun je echter ook voor je laten werken. Wanneer je als organisatie afhankelijk bent van de beschikbaarheid van je ICT – en wie is dat tegenwoordig niet, dan biedt de cloud een robuuste omgeving en een uitstekende verdediging tegen uitval door incidenten of aanvallen van buitenaf. Ook is de capaciteit flexibel en vrijwel onbegrensd op te schalen, getuige de mirrorsites die als paddestoelen uit de grond schieten. Kanttekening hierbij is dat dit alles voor geavanceerde, complexe applicaties meer voeten in de aarde zal hebben dan voor een simpele website als Wikileaks.

Wie interesse heeft in security moet eens kijken naar de inhoud van de recent gepubliceerde documenten. Het gaat om veelal persoonlijke e-mails en andere boodschappen van diplomaten, die zich in soms nogal brute bewoordingen uitlaten over regeringsleiders en andere belangrijke mensen. Dat is raar: van diplomaten verwacht je toch diplomatiek taalgebruik? Ik vermoed dat ze zich hiertoe hebben laten verleiden door de vermeende veiligheid van de diplomatieke kanalen. Via gewone e-mail zou men zich waarschijnlijk veel voorzichtiger hebben uitgelaten. Dit effect heet risicocompensatie: in een veilige omgeving gedragen mensen zich onveiliger dan in een onveilige omgeving. Een bekend voorbeeld is het remwegverkortende antiblokkeersysteem (ABS) in moderne auto’s. Uit onderzoek (zie bijvoorbeeld http://psyc.queensu.ca/target/chapter07.html) is gebleken dat, hoewel dit systeem op zich zeer effectief en dus veiligheidsverhogend is, auto’s met ABS nauwelijks minder aanrijdingen hebben dan auto’s zonder ABS. Dat komt omdat bestuurders van auto’s met ABS meer risico’s nemen aangezien ze denken minder kwetsbaar te zijn. Dit effect doet zich ook voor in de digitale werkelijkheid.

Het is daarom zaak bij het ontwerpen van (informatie)systemen goed rekening te houden met het gedrag van de gebruikers. Zeker als het gaat om veiligheidsmaatregelen. Als de Amerikaanse diplomaten vooraf rekening hadden gehouden met de mogelijkheid van uitlekken van informatie, dan was de schade wellicht minder groot geweest dan nu. Oftewel: om veilig gedrag van gebruikers te stimuleren, moet de gepercipieerde veiligheid van een systeem altijd kleiner zijn dan de werkelijke veiligheid.

Erwin Oord (eoord@archixl.nl) is principal consultant en partner bij ArchiXL.

Interessant? Deel het!
Illustratie stel je vraag
Meer weten over deze blog?

Neem contact op met ons, we vertellen er graag meer over!

© ArchiXL  |  KvK 05084421