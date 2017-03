Over een security through obscurity-argument en legacy.

Onderzoekers keken naar data van beveiligingsincidenten bij de Amerikaanse overheid - notoir voor zijn gebruik van legacy-IT door de wet van de remmende voorsprong - en ontdekten onder meer deze opvallende correlatie: een verhoging van één procent van de IT-uitgaven in nieuwe ontwikkelingen heeft betekent in de praktijk een verlaging van vijf procent aan succesvolle inbraken in IT-systemen.

Complex en diffuus

Het is niet zo dat oude systemen inherent onveiliger zijn dan moderne, maar dat het beheer lastig is voor de huidige generatie IT'ers, expertise ontbreekt en beschikbare updates (COBOL is bijvoorbeeld fundamenteel veranderd in de jaren 90) worden niet toegepast. Programmeurs van tegenwoordig richten zich op bijvoorbeeld populaire webtalen of big data-talen en databases die in de jaren 60 en 70 zijn aangemaakt, vallen vaker buiten hun kennisgebied.

Dat hoor je vaker. Ook de financiële sector maakt veel gebruik van oude databases en zijn niet happig op modernisering omdat weinig mensen meer weten welke code verantwoordelijk is voor welk proces. De ingewikkelde op elkaar inhakende code van zulke systemen is zodanig toegenomen dat er sprake zou zijn van complexiteit volgens de technische definitie: het systeem als geheel doet iets meer dan de losse onderdelen ervan. Of althans, zo ervaren de beheerders die met heavy wizardry worden geconfronteerd.

Nieuwe technologie

Een idee dat je wel eens hoort is dat legacy-systemen om dezelfde reden eigenlijk beter zijn beveiligd: ook aanvallers weten er te weinig van. Informatiespecialisten Min-Seok Pang en Huseyin Tanriverdi van twee Amerikaanse universiteiten stellen dat dit security through obscurity-argument niet strookt met de bevinding dat investeringen in nieuwe technologie leiden tot minder aanvallen die met succes worden uitgevoerd.

"Misschien klopt de algemeen aangenomen waarheid dat legacy-systemen veiliger zijn", zegt Pang in een interview, maar de integratie van deze systemen "maken de architectuur in grote organisaties te complex, te rommelig en te onveilig", zegt hij. Van 2006 tot 2014 namen de beveiligingsincidenten, variërend van malware-infecties die toegang verlenen tot het netwerk tot succesvolle DDoS-aanvallen, bij Amerikaanse overheidsorganisaties toe met meer dan 1100 procent.