Home Security Hoe Enterprise Support voor Open Source Software zich terugbetaalt

Hoe Enterprise Support voor Open Source Software zich terugbetaalt

82

De Panama Papers houden de gemoederen de laatste tijd behoorlijk bezig. De ontkenningen zijn niet van de lucht, koppen rollen en de belastingautoriteiten en trust kantoren hebben hun handen vol, met dank aan de onderzoeksjournalisten en een paar slimme hackers.
De Panama Papers-case toont op meerdere vlakken het falen van systemen, regels en procedures aan. Ik ga hier geen oordeel vellen over de bedrijven en particulieren wiens informatie op straat ligt ik ben immers geen belastingadviseur.
Veel interessanter vind ik het om te analyseren hoe dit nu eigenlijk kon gebeuren. Een recent artikel op infoworld.com stelt dat ‘Slordige patching en onveilige plug-ins’ als de oorzaak van het lekken van de informatie moeten worden gezien.
Kennelijk gebruikte Mossack Fonseca voor haar publieke website WordPress en voor haar zogenaamde klantenportaal en het delen van ‘gevoelige en vertrouwelijke informatie’ Drupal. Hoewel Mossack Fonseca claimt dat haar mail server werd gehackt staat in ieder geval vast, dat zowel de Drupal als WordPress sites niet up-to-date waren. Een WordPress security plug-in was minimaal 3 maanden out-of-date en de Drupal site was twee jaar out-of-date.
Het word nog mooier: de webserver stond niet achter een firewall en de website maakte gebruik van Revolution Slider een van de bekende WordPress kwetsbaarheden.
De Drupal website van Mossaca Fonseca maakte gebruik van een versie waar nota bene van bekend was dat er ‘kritische kwetsbaarheden door de Drupal community waren gemeld’. Deze bleken zo erg dat er geautomatiseerde aanvallen op Drupal sites wereldwijd werden gelanceerd op sites die niet waren gepatched en bijwerkt.
De slimme adviseurs van Mossack Fonseca hebben dan misschien verstand van het omzeilen van belastingregels door allerlei (dubieuze) constructies maar van IT en security hebben ze minder kaas gegeten.

Je vraagt je af hoe het mogelijk is dat een bedrijf waar de cash flow wel het minste probleem moet zijn zo slordig en onachtzaam is met de vertrouwelijke en hoogst gevoelige informatie van hun klanten. Natuurlijk, het bedrijf is gespecialiseerd in het adviseren over en het opzetten van constructies om ‘zo min mogelijk belasting te betalen’. Maar om voor ook voor je websites te kiezen voor ‘goedkope en gratis’ oplossingen en kosten te vermijden is, zo blijkt, vragen om moeilijkheden.
Voor Enterprise level oplossingen, security en support is PHP niet de juiste keuze, niet voor niets zegt Infoworld: ‘PHP ontwikkelaars, vooral zij die werken met WordPress, Drupal, Joomla etc.: het wordt tijd om eens iets te gaan doen aan de security van de software waar zoveel websites op vertrouwen.’ De lage drempel die de PHP scripting-taal met zich meebrengt heeft een duidelijke keerzijde. In de PHP-wereld wordt veel geknutseld en ‘geforkt’, ontbreekt het in veel gevallen aan governance, en viert, volgens sommigen, amateurisme hoogtij.

Ik raad iedereen aan om zeer kritisch te zijn en te blijven op organisaties die hun publieke websites en/of hun klantportalen op basis van PHP technologie ontwikkelen. Ik zou het wel weten als ik kon kiezen, dan toch liever een bedrijf (of organisatie) die security serieus neemt en haar klant portaal bouwt op bewezen enterprise technologie. Hoewel ik niets te verbergen heb beslis ik nl graag zelf wie er toegang heeft tot persoonlijke en vertrouwelijke informatie. Ik verwacht ook van de eigenaar van het klantportaal dat hij de juiste keuze maakt en maatregelen heeft genomen om mijn gegevens afdoende te beschermen.

Velen van u die deze blog post lezen zijn ondernemer. In die zin kan ik u gerust stellen, als u inlogt op Mijn RVO, Rijksdienst voor Ondernemend Nederland, dan maakt u gebruik van een supported open source Java-platform.
Gelukkig zie ik in de markt dat voor klantportalen steeds vaker wordt gekozen voor echte robuuste Java portal enterprise platformen en de daarbij behorende support. Supported Open Source, security en enterprise oplossingen gaan heel goed samen zoals wij al jaren bewijzen. Niet voor niets is Liferay Portal o.a. in de financiële sector, bij overheden etc. aan een heel stevige opmars bezig.

Ruud Kluivers is general manager van Liferay Benelux

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in