Onderzoekers keken naar data van beveiligingsincidenten bij de Amerikaanse overheid - notoir voor zijn gebruik van legacy-IT door de wet van de remmende voorsprong - en ontdekten onder meer deze opvallende correlatie: een verhoging van één procent van de IT-uitgaven in nieuwe ontwikkelingen heeft betekent in de praktijk een verlaging van vijf procent aan succesvolle inbraken in IT-systemen.

Complex en diffuus

Het is niet zo dat oude systemen inherent onveiliger zijn dan moderne, maar dat het beheer lastig is voor de huidige generatie IT'ers, expertise ontbreekt en beschikbare updates (COBOL is bijvoorbeeld fundamenteel veranderd in de jaren 90) worden niet toegepast. Programmeurs van tegenwoordig richten zich op bijvoorbeeld populaire webtalen of big data-talen en databases die in de jaren 60 en 70 zijn aangemaakt, vallen vaker buiten hun kennisgebied.

Dat hoor je vaker. Ook de financiële sector maakt veel gebruik van oude databases en zijn niet happig op modernisering omdat weinig mensen meer weten welke code verantwoordelijk is voor welk proces. De ingewikkelde op elkaar inhakende code van zulke systemen is zodanig toegenomen dat er sprake zou zijn van complexiteit volgens de technische definitie: het systeem als geheel doet iets meer dan de losse onderdelen ervan. Of althans, zo ervaren de beheerders die met heavy wizardry worden geconfronteerd.

Nieuwe technologie

Een idee dat je wel eens hoort is dat legacy-systemen om dezelfde reden eigenlijk beter zijn beveiligd: ook aanvallers weten er te weinig van. Informatiespecialisten Min-Seok Pang en Huseyin Tanriverdi van twee Amerikaanse universiteiten stellen dat dit security through obscurity-argument niet strookt met de bevinding dat investeringen in nieuwe technologie leiden tot minder aanvallen die met succes worden uitgevoerd.

"Misschien klopt de algemeen aangenomen waarheid dat legacy-systemen veiliger zijn", zegt Pang in een interview, maar de integratie van deze systemen "maken de architectuur in grote organisaties te complex, te rommelig en te onveilig", zegt hij. Van 2006 tot 2014 namen de beveiligingsincidenten, variërend van malware-infecties die toegang verlenen tot het netwerk tot succesvolle DDoS-aanvallen, bij Amerikaanse overheidsorganisaties toe met meer dan 1100 procent.

Een van de grootste en beruchtste incidenten was bij administratieorgaan OPM waardoor criminelen 18 miljoen records van overheidspersoneel, waaronder vingerafdrukken, te pakken kregen. Ook daarbij zag je dat het probleem niet zozeer de legacy zelf was, maar de enorme mismanagement ervan. IT-specialisten die commentaar leverden op de brakke beveiliging werden buitengewerkt en adviezen genegeerd.

Upgrades van legacy

De voormalige CIO van de overheid onder president Obama vertelde een parlementaire onderzoekscommissie vorig jaar dat bijna driekwart van het IT-budget opgaat aan het onderhouden van legacy-systemen. Volgens hem brengen die wel degelijk beveiligingsrisico's met zich mee, omdat de huidige best practices qua beveiliging niet kunnen worden gevolgd.

Zo ontbreek bij zeer oude, niet bijgewerkte systemen de mogelijkheid om data te versleutelen of om multifactor-authenticatie te krijgen, zo getuigde de overheids-CIO. Ook bij dit argument kun je de kanttekening zetten dat dus niet zozeer een upgrade naar moderne talen uitkomst bieden, maar een upgrade naar iets moderns soelaas biedt, bijvoorbeeld van COBOL-74 naar COBOL 2014.

Moderniseren

Met andere woorden, het verhaal dat COBOL systemen vatbaar maakt voor hacks wat we hier en daar lezen vinden we onjuist. Het is niet de taal per se, het is het gebrek aan modernisering en gebrek aan expertise dat het probleem vormt. Dat neemt niet weg dat als een organisatie gaat moderniseren, het waarschijnlijk aantrekkelijker is om te upgraden naar iets waar meer programmeurs voor te vinden zijn.