Dat zei Eric Litt, chief information security officer (ciso) van autofabrikant General Motors, donderdagochtend tijdens zijn keynote-toespraak voor de beveiligingsconferentie Black Hat in Amsterdam.

"Mijn functieomschrijving is de kortste die ik ooit heb gehad: houd GM veilig", vertelde Litt. Geen gemakkelijke opgave, meent de ciso. Veiligheidslekken worden steeds sneller misbruikt. "Vroeger zaten er maanden tussen het uitbrengen van een patch en een exploit. Tegenwoordig is dat in sommige gevallen al nul dagen."

Zomaar een patch installeren is er bij General Motors niet bij. Eerst moet alles goed worden getest, aldus Litt. "Omdat GM wereldwijd actief is, bestaat er bovendien geen goed tijdstip waarop je onderhoud kunt doen."

Ook gebeurt het volgens Litt steeds vaker dat kwaadwillenden hun aanvallen richten op een specifieke organisatie of zelfs persoon. "Daardoor kan het veel langer duren voordat je uitvindt wat er aan de hand is."

Litt heeft wel het idee dat de kwaliteit van software langzaam beter wordt: de softwaremakers zijn zich beter bewust van het belang van veiligheid.

Softwareproducenten kunnen volgens Litt nog wel wat leren van vliegtuig- en automakers. Ook in vliegtuigen en auto's zit tegenwoordig veel elektronica en daar gaat maar weinig mis mee. "Kwaliteitscode is mogelijk", concludeert Litt. "Het maakt weinig mensen wat uit wat er precies onder de motorkap gebeurt. Waar het om gaat is dat de rem werkt."