Afgelopen maandag gingen op veel it-afdelingen de alarmbellen af. Wat aanvankelijk een virusinfectie op Windows XP-computers leek, werd veroorzaakt door een anti-virus update van McAfee. Door de update werd een systeembestand gezien als bedreiging en maakte de beschermingssoftware het systeem onbruikbaar, een soort auto-immuun ziekte.

In ziekenhuizen en zorginstellingen wordt XP nog veel gebruikt omdat specialistische medische applicaties veelal nog niet gereed zijn voor nieuwe Windows-versie (en net zo vaak puur vanwege onderinvestering). Deze keer was het McAfee maar vrijwel alle anti-virus producten hebben van tijd tot tijd dit soort problemen. Anti-virus updates is een real-time wapenwedloop en in de haast gaat er wel eens wat fout.

Varkensstallen

Uit de landbouw en ecologie weten we dat monoculturen efficiënt maar ook heel kwetsbaar zijn. In de varkensstallen van de it is het niet anders. Het beheer van 4500 identieke systemen lijkt eenvoudiger dan een veel gevarieerdere infrastructuur. Totdat er een virus of auto-immuunziekte uitbreekt. Dan wordt het nachtwerk.

De schaal van veel van deze incidenten laat zien dat zelfs vrij grote zorginstellingen hun netwerken onvoldoende intern verschot hebben. Hoewel de situatie beter is dan 5 jaar geleden.

Het probleem van security issues veroorzaakt door mono-cultuur is geen nieuw verhaal. In 2003 schreven onder meer Daniel Greer en Bruce Schneier al een rapport over de security implicaties van het dominante OS-monopolie. Sinds die tijd is noch de markt noch de overheid er echter in geslaagd dit monopolie effectief te doorbreken. In de gezondheidszorg zijn veel applicaties die met medische- of laboratoriumapparatuur worden meegeleverd Windows-only.

MRI-scanner is dood ijzer

Vaak stellen leveranciers additionele voorwaarden over de pc's, geen firewall bijvoorbeeld, om goede werking van hun applicatie te garanderen. Daardoor kan dus een computervirus (of een auto-immuun ziekte) niet alleen vervelend zijn voor de administratieve afdeling maar ook beeldvormende apparatuur onbruikbaar maken.

De MRI-scanner doet het dan nog wel maar de pc die cruciaal is voor de bediening en het bekijken van de output niet meer. Zo'n mooi Philips- of Siemens-apparaat van een miljoen euro is dan effectief dood ijzer en patiënten kunnen niet geholpen worden. Vroeg of laat gaat dit dus een keer echt fout en dan zijn er ernstiger slachtoffers dan de vrije avond van de helpdesk. In Engeland zijn meer dan 1100 computers van de National Health Service geïnfecteerd met een data-stelende worm. Daar gaat je medisch geheim.

Onbekend verschil

Uit de vele gesprekken die ik de afgelopen jaren heb mogen voeren met it-ers, concludeer ik dat men het verschil tussen een product-monocultuur (een 'standaard' desktop) en het toepassen van standaarden om interoperabiliteit te realiseren nog steeds niet begrijpt. Enkele jaren geleden sprak ik op een ministerie met een ambtenaar die enthousiast vertelde dat er een 'standaard' desktop aankwam voor de gehele overheid. Toen ik vroeg welke standaarden er dan toegepast gingen worden, rolde er een lijstje producten over tafel: 'deze versie van een besturingssysteem, die versie van een tekstverwerker', enzovoorts.

De perceptie leeft bij veel it-managers dat systemen alleen kunnen samenwerken en goed beheerd kunnen worden als ze allemaal van dezelfde leverancier en versie zijn. Maar dat is veel meer een symptoom van de slechte marktwerking en de onvolwassenheid van de it-industrie. Het is een probleem dat moet worden opgelost, niet een natuurwet waar we ons aan moeten aanpassen.

Niet onmogelijk

Dat het ook anders kan blijkt uit het werk dat de afgelopen 10 jaar is verricht in het Antonius ziekenhuis in Nieuwegein (PDF). Daar is consequent, in kleine stapjes, heel bewust gewerkt aan het zo veel mogelijk onafhankelijkheid van een specifieke leverancier, platform of applicatie. Wat de meeste it-hoofden van zorginstellingen als 'onmogelijk' betitelen wordt in Nieuwegein gedaan.

Gelukkig ligt dat ziekenhuis centraal in Nederland zodat we bij een echt grote crash daar alle kritieke patiënten naar toe kunnen sturen. Anno 2010 zijn met virtualisatie, web-enabeling en open standaarden prima omgevingen te bouwen die diversiteit en interoperabiliteit combineren en niet bij het eerste virusje of software-update-gone-wrong omvallen.