Dennis' Blog

From the trenches, een maritieme oplossing.

Ik werkte aan een groot web-based systeem. Dit systeem zou gebruikt worden door vele tienduizenden gebruikers, met koppelingen naar diverse backoffice systemen. Tussen de toekomstige gebruikers van het systeem zitten ongetwijfeld een paar heel slimme mensen, mensen met verstand van computers en vooral van computers ‘cracken’, dus je kunt je voorstellen dat beveiliging van het systeem erg belangrijk was. Nou, daar verschillen de meningen dus nogal over.

Na een grondige review van het systeem vond ik een behoorlijk groot risico lek. In de wekelijkse voortgangsbespreking wees ik de verantwoordelijke manager hierop. Tot mijn verbazing vloog hij me niet om de hals om me te bedanken voor het voorkomen van een toekomstige ramp. In tegendeel zelfs: het gesprek ging ongeveer als volgt:

Ik: “Maar als we dit niet oplossen, wat nu nog niet zoveel tijd kost, hoeven we hier ons geen zorgen meer over te maken en is het systeem een stuk beter beveiligd.”

“Ach, waar maak je je nou druk om? Niemand zal dat lek vinden.”

“Tja, dat zeiden ze bij jullie collega bedrijven ook en ik heb hier een krantenartikel waarin staat dat vorige week bij jullie collega het netwerk gekraakt is. Hun architectuur lijkt trouwens op die we hier hebben.”

“Nou ja, dat is daar. Bij ons gebeurt dat niet. Trouwens, over 4 maanden moeten we weer een nieuwe versie uitleveren en dan kijken we er wel naar.”

“Maar als we het nu oplossen kost me dat ongeveer 4 dagen. Als we het over 4 maanden mee moeten nemen zal het tegen die tijd 4 weken werk kosten: het systeem groeit ontzettend hard.”

“Nou, dat waag ik te betwijfelen.”

Het gesprek ging verder over de functionaliteit die nog geïmplementeerd moest worden. Ik stond even perplex: hier stond ik dan, met mijn kennis op het gebied van security en er werd mij verteld door iemand die geen inhoudelijke kennis van de systemen heeft (zijn woorden, niet de mijne hoewel ik het wel met hem eens ben) dat ik het helemaal mis op. In gedachten haal ik mijn schouders op, noteer dit gesprek zodat ik later dit allemaal kan documenteren en ga verder met de meeting.

Even later komen we bij een ander probleem. Er zijn 2 manieren om het op te lossen. Eén ervan duurt een week maar is wel secuur, de tweede duurt één dag maar is qua veiligheid zo lek als een mandje.

Toen ontstond de volgende dialoog.

“Ik vind het vervelend om er over te beginnen, maar zo introduceren we wel een nieuwe beveiligingsprobleem.”

“Daar heb je hem weer met zijn beveiliging. Dat is toch geen probleem!”

“Toch denk ik dat we het anders moeten aanpakken!”

En hierop volgend kreeg ik, als duurbetaalde expert, een uitleg over hoe het nu werkt bij het beveiligen van IT-systemen:

“Ik zie het zo: stel je hebt een boot. In die boot zit een gat. Dan zinkt die boot. Als je er nu een tweede gat bij maakt, dan maakt dat echt niet meer uit!”

Ik mompelde nog: “Met een beetje geluk loopt het water via het ene gat naar binnen en via het andere gat naar buiten.”, en besloot het er maar bij te laten. Tegen dit soort logica kan ik niet op.

Na 6 maanden (nadat ik al weg was bij dat bedrijf) sprak ik iemand die er nog werkte, en die bevestigde mij dat alle beveiligingsproblemen nog steeds in het systeem zitten. De grote update die plaats gevonden heeft, heeft een groot aantal problemen opgelost, maar het beveiligingsprobleem oplossen zou op dat moment te veel tijd gekost hebben. Tja…

Ik werk in de detachering. Als consultant en als developer kom ik bij nogal wat bedrijven binnen. Dat is altijd spannend, in het begin is het vooral even zoeken. Wat moet ik precies doen, wat wordt er van mij verlangd, hoe werken ze hier, waar is het toilet? En dat iedere 3 à 4 maanden opnieuw.

Toch vind ik dat vooral leuk: iedere keer weer een kans om jezelf te bewijzen, om nieuwe mensen te leren en vooral om nieuwe dingen te leren. Niet alleen nieuwe technieken, maar ook nieuwe manieren om al bekende technieken toe passen.

Uiteraard heeft dit ook zijn nadelen. Binnen iedere organisatie zit altijd wel iemand met wie je niet echt door één deur kunt. Zo iemand die het bloed onder je nagels vandaan weet te halen door alleen al in dezelfde ruimte te zijn. Meestal is de reden daarvoor dat die persoon erg veel op jezelf lijkt, maar een dergelijke beschouwing is meer voer voor psychologen en hoort niet thuis in deze blog.

Als je al wat langer met dergelijke personen samen werkt, weet je op een gegeven moment wel hoe je met ze om moet gaan. Je weet wat je moet doen om ze te ontlopen en wat je moet zeggen om te voorkomen dat ze weer vol trots beginnen te vertellen over hun nieuwe hond die als beste van de puppytraining geëindigd was.

Als gedetacheerde heb ik die luxe niet. Ten eerste omdat het tijd kost om dergelijke tactieken te ontwikkelen, ten tweede omdat dat soort mensen om de een of andere reden altijd op leidinggevende posities terecht komen. Dat zijn dus de mensen waar ik dagelijks mee te maken heb.

Laat me duidelijk zijn: 95% van de mensen met wie ik samenwerk zijn absoluut een aanwist voor ons vakgebied. Het zijn leuke mensen, gedreven developers, vakbekwame collega’s en meestal prettig in de omgang.

De overige 5 procent… Daar wil ik het in deze column over hebben.

Onder het kopje “From the trenches” zal ik mijn ervaringen met dit soort mensen met jullie delen. Uiteraard zijn er enkele details veranderd en de namen laat ik weg of pas ik aan om de (on)schuldigen te beschermen. Dat neemt echter niet weg dat de strekking van mijn verhalen allemaal waar gebeurd zijn.

Als je zelf ook dergelijke ervaring hebt, laat het me weten! Gedeelde smart is halve smart dus kom maar op met die verhalen!

Dennis.