Keynote van Michel van Eeten op HITB2018

Om 09:00 uur een zaal met honderden congresgangers als eerste toespreken is een uitdaging en een eer. Michel van Eeten had daarmee donderdagochtend in Amsterdam te maken. Hij was de keynote voor de 2018 editie van Hack in the Box en had 15 minuten de tijd om iedereen wakker te maken.

Dat is Van Eeten goed gelukt. De presentatie die hij hield kwam redelijk overeen met het verhaal dat hij eind vorig jaar nog op Dcypher hield. Centraal stonden toen en nu twee onderwerpen: het patch dilemma en het schoonhouden van provider klanten. De combinatie is interessant en heeft ook heel wat raakvlakken met de hosting- en datacenterbusiness.

Onvermijdelijk

Een van de eerste stellingen die Van Eeten lanceerde was dat het Wannacry drama dat verlader Maersk trof onvermijdelijk was. Onvermijdelijk omdat bedrijven genoeg redenen hebben niet te patchen. Dat klinkt als een bizarre en vooral onwenselijke situatie. Toch is de verklaring die hij daarvoor heeft zo vreemd nog niet. Patchen of niet patchen bij organisaties is de uitkomst van een rationeel proces en heel vaak zijn daar economische factoren die de doorslag geven. Simpel uitgedrukt: een bedrijf met tientallen of tienduizenden systemen maakt de afweging dat downtime op dit moment niet opweegt tegen een laag ingeschat (want slecht gedocumenteerd) risico.

Die downtime door patchen zou te minimaliseren moeten zijn, de ervaring leert daar echter anders. Van Eeten noemde onderzoek waarbij hij betrokken was naar het patch beleid van een grote telco (welke zou dat zijn?) waar de meeste outages direct te herleiden waren tot patches, die ondanks het grondig testen vooraf, eenmaal in productie genomen voor onverwachte problemen zorgden. Nu is het aantal patches waar een telco mee te maken heeft natuurlijk onvergelijkbaar met wat een doorsnee hoster voor zijn kiezen krijgt. Toch is het goed dat er weer eens op gewezen werd: patchen is enerzijds goed en logisch, anderzijds is het iets waar nog steeds veel mis mee kan gaan.

Vier scenario’s tegen foute providers

Het tweede deel van de keytalk ging over de manier foute providers (daarmee werden zowel accesproviders als hosters bedoeld) behoed kunnen worden voor ongewenst gedrag. De gradaties van zachte dwang, naming & shaming kwamen ter sprake. Echt veel lijken die niet te helpen.

Wat meer lijkt te helpen zijn aansprakelijkheid en sociale normen. Van Eeten wees op de actie van de Consumentenbond tegen Samsung wegens het update beleid. Daar ligt Samsung dwars terwijl het alle registers opentrok – inclusief het remote bricken – om de brandgevaarlijke Note7 modellen asap van de markt te krijgen. Waarom Samsung dat bij de Note7 deed had alles te maken met het voorkomen van megaclaims. Dat is de stok achter de deur die internationaal werkt. Daarom is de rechtszaak van de Consumentenbond ook zo belangrijk. Als de rechter meegaat in de eis van de Bond heeft dat absoluut positieve impact op het reduceren van ondeugdelijke hardware (riep daar iemand IoT?)

Op de vraag of je daarmee ook fout klanten van providers of de providers zelf, tot de orde kan roepen werd niet ingegaan. Het is wel iets dat later nog eens over gebrainstormd kan worden, want zoals bekend zijn er op dit moment goede redenen providers niet aansprakelijk te stellen voor het gedrag van klanten.

Daarom was het andere punt over de sociale normen zo interessant. BCP38 – de anti spoof maatregelen – naleven wordt door 50% van de providers toegepast. “De vraag moet niet zijn waarom 50% dat niet doet,” gaf Van Eeten aan: “We moeten begrijpen waarom 50% het wel doet en dan blijken sociale normen een belangrijke rol te spelen”.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.