Tuesday, August 30, 2011

Voors en tegens van de cloud

De afgelopen twee jaar was de 'cloud' een van de toppers, waar het ging om de aandacht van ICT- management en general management. Het belooft kostenverlaging van het machinepark en verruiming van de mogelijkheden van ICT. En die beloften zijn ook reëel, zij het, dat de tijd daarin wel zijn werk moet doen. En dat eerst diverse organisatorische zaken ingeregeld moeten zijn, voordat de nieuwe techniek probleemloos kan worden ingezet in de organisatie.

Volgens Gartner krijg je in de hype-curve na het aanvankelijke grote enthousiasme een dip, the 'trough of disillusionment'. Ik weet niet of dat voor de cloud nu aan de orde is, maar het is wel zo, dat diverse kritische signalen recentelijk naar boven komen. In de eerste helft van 2011 gebeurde dat vooral na twee grote incidenten: het bijna faillissement van Info Technology en het down gaan van de clouddiensten van Amazon.
In het blad Cloudworks van maart 2011 schrijft de column van Brouwer daarover. Gesteld wordt, dat veel van de verkopers van cloudconcepten met de mond vol tanden staan, zodra er serieus wordt doorgevraagd over de techniek. Hij vergelijkt dat met een autoverkoper, die desgevraagd niet weet, hoe de motorkap van de auto open moet. De aanleiding voor de column was het feit, dat op 8 februari 2011 Info Technology failliet is gegaan.
Webwereld februari 2011 schrijft ook over InfoTechnology. Bij die firma worden 1.5 tot 2 miljoen Elektronische Patienten Dossiers bewaard. Honderden huisartsenpraktijken worden bediend en vele daarvan hebben zelf alleen nog maar een thin client. Ook het Vecoso systeem draait bij Info Technology, waarmee praktijken communiceren met verzekeraars over declaraties. Volgens de curator is er voldoende belangstelling voor overname. Je mag aannemen, dat grote partijen als Cap en Logica graag zo'n ingang in de zorgmarkt willen hebben. In een uiterste geval zullen natuurlijk altijd overheden en zorgverzekeraars interveniëren om deze ict-infrastructuur te continueren. Ik vind het dus paniekzaaierij om hiermee de cloud in diskrediet te brengen. Het alternatief, dat alle partijen zelf weer met ICT zitten te knoeien lijkt me volledig achterhaald.

PC Magazine van april 2011 rapporteert over 'The great Amazon Cloud Collapse' van die maand.
Amazon heeft 5 grote datacenters, maar de storing was zo wijd verbreid, dat veel klanten (websites) dagen uit de lucht waren. Sommigen zeggen, dat de les is, dat je als klant zelf voor back-up faciliteiten moet zorgen.
De schrijver kan zijn mening ventileren, dat de cloud een 'slippery buzzword' is, want de data zitten niet in ergens in de wolken, maar op de grond en op een server. Het eerste ben ik niet met hem eens, maar met zijn tweede opmerking heeft hij natuurlijk gelijk. Net als vroeger zitten de data gewoon ergens op een server. Die moet goed beheerd worden en daar moeten dus afspraken over worden gemaakt!

Als ik beide voorgaande cases (Info Technology en Amazon) resumeer, dan vind ik het niet juist om daarmee het fenomeen Cloud te diskwalificeren. Wel zie ik een maturity- oftewel rijpheidsprobleem. Het fenomeen moet gewoon nog verder rijpen. Naar een situatie dat aanbieders en afnemers precies weten wat ze willen en daarover ook weldoordachte afspraken hebben gemaakt. Afspraken, die voorkomen, dat de voornoemde problemen (bijna-faillissement van de provider respectievelijk grootschalige uitval van servers) de business van de afnemers kunnen bedreigen.

In 1991 schreef ik met een groepje een scriptie over Outsourcing voor de postdoctorale opleiding Informatiemanagement. De titel van de scriptie luidde: “Outsourcing, een zwaard van Damocles?”.
Toen was het nog niet duidelijk of outsourcing voor bedrijf zonder gevaar voor de continuïteit van de onderneming kon worden ingezet.
Nu, 20 jaar later, is outsourcing wijd verbreid en heeft men geleerd hoe outsourcing goed kan worden ingezet. Met de Cloud zal het niet anders gaan.

Friday, August 19, 2011

Opruimen van botnets

Microsoft Digital Crimes Unit rapporteert in maart 2011 over het oprollen van het Rustock netwerk.
Een jaar eerder waren ze erin geslaagd om het Waledac-netwerk te elimineren. De daarbij opgedane ervaring kwam nu van pas om een groter en meer kwaadaardig netwerk aan te pakken. Rustock had meer dan 1 miljoen pc's onder controle en gebruikte die vooral om enorme hoeveelheden spam te versturen. In samenwerking met de authoriteiten werden na maanden onderzoek verschillende command and control servers verspreid over de VS in beslag genomen. (Bij 5 providers in 7 steden.) Volgens Microsoft was Rustock taaier dan Waledac, omdat het controleerde vanuit hardgecodeerde IP-adressen i.p.v. Domeinnamen. Het was dus nodig om de betreffende servers te pakken te krijgen, voordat de beheerders de controle over het netwerk konden overbrengen naar andere plaatsen. Een soortgelijk verhaal als het oprollen van het Bredolab-netwerk door de Nederlandse politie. Dat netwerk werd gecontroleerd (door een Armeense crimineel) vanuit een provider in Amsterdam.
Volgens Microsoft is het zaak om snel de kern-infrastructuur van het netwerk te inactiveren en dan de malware van alle geïnfecteerde computers te schonen.

Microsoft stelt, dat intensieve samenwerking tussen partijen nodig is om succesvol cybercrime te bestrijden. In het geval van Rustock noemt Microsoft een vijftal partijen, waaronder de Dutch High Tech Crime Unit van de Nederlande politie. De laatste partner hielp bij het ontmantelen van de buitenlandse command and control infrastructuur van het netwerk.
Het is toch wel frappant, dat de Nederlandse politie in de bestrijding van deze misdaden een vooraanstaande positie inneemt. Heeft er enerzijds mee te maken, dat Nederland (Amsterdam) een belangrijke spil is in het internetverkeer tussen de continenten, maar anderzijds ook met de ambities van de Nederlandse politie. (Zie mijn postings van 28 mei 2008 en 28 januari 2009.)

Botnets zijn een middel voor cybercriminelen voor online aanvallen via duizenden geïnfecteerde computers. Ze versturen spam, doen denial-of-service aanvallen, verspreiden malware, stelen passwords, faciliteren klikfraude bij online adverteren en meer.
Rustock verstuurde soms 30 miljard spam-mails per dag! De mails verkopen bijvoorbeeld geneesmiddelen, die zeer gevaarlijk kunnen zijn. Pharmaciebedrijf Pfizer heeft daarover een verklaring geschreven om de aanklacht van Microsoft bij de rechter te ondersteunen.
Een medicijn als Viagra wordt nagemaakt en via spam-mails aangeboden. Deze namaakprodukten kunnen verkeerde componenten bevatten en in een aantal gevallen zijn in de produkten verfresten, pesticiden en zware metalen aangetoond.

Het Data Breach Investigations Report 2011 van Verizon is een studie door deze netwerkleverancier in samenwerking met US Secret Service en, alweer, the Dutch High Tech Crime Unit.
Deze studie wijst op het succes van de aanpak van grote cybercriminelen. De studie toont, dat er meer 'inbraken', zijn maar dat de gemiddelde buit afneemt. Men denkt, dat de grote criminelen zien, hoe hun grote projecten door gecoördineerde aanpak van politie-organisaties kwetsbaar worden en dat ze ook als persoon kans lopen om opgespoord te worden. Zodat deze criminelen zich meer gaan richten op kleinere en meer kwetsbare projecten, zoals het overnemen van points-of-sale, skimmen van geldautomaten en het aanvallen van kleine bedrijven en particulieren. Op CNN schrijft een analist juli 2011, dat de benadering van de criminelen steeds geraffineerder wordt; eerst waren er nog veel digibeten, die ze makkelijk konden misleiden, maar die zijn er steeds minder, zodat ze nu ook meer ervaren internetgebruikers als slachtoffer moeten kiezen. Zoals bijvoorbeeld door namaak antivirusprogramma's, die als boodschap geven: "Your computer has been infected with 49 viruses, click OK to quarantine them."
En weer hebben ze daarbij botnets nodig om de schaal van hun aanvallen te vergroten. CNN: "If they used to send 10,000 e-mails and get just a 1% response, now they'll send 10 million e-mails and get a 0.03% response." Dat zijn dan nog altijd 3000 slachtoffers. Het is dus een goede zaak, dat Microsoft zo ijverig aan de weg timmert om de botnets op te ruimen. Hoewel het natuurlijk wel hún Windows-besturingssystemen zijn, die worden overgenomen door de criminelen.

Tuesday, August 9, 2011

Aan de slag met de BAG (2)

Ministerie van VROM organiseerde op 29 en 30 november 2010 twee workshopdagen om de implementatie van de Basisadministratie Gebouwen te stimuleren. Een eerste verslag daarvan verscheen op deze weblog op 7 juni j.l. Bij deze nog verslag van een paar informatieve workshops, die ik bijwoonde.

Er was een sessie over de koppeling van BAG en GBA (Gemeentelijke Bevolkingsadministratie). GBA is mij zeer bekend vooral door mijn betrokkenheid bij de Polisadministratie van UWV in 2005 en 2006.
Volgens mij is het zo, dat GBA een deel van zijn gegevens zal gaan halen uit de BAG. Tot op heden was de GBA niet alleen de administratie voor persoonsgegevens (naam, geslacht, geboortedatum, burgerlijke staat e.d.) maar ook de administratie voor de verblijfsgegevens van de persoon. Dat heeft overal veel problemen gegeven. Bij de polisadministratie van UWV heb ik ze meegemaakt. Ik begrijp dus dat GBA in de toekomst alleen het sleutelgegeven van het adres zal vasthouden en voor de precieze adresgegevens zich zal verlaten op de BAG. Die adresgegevens worden als het ware uit de GBA weg-genormaliseerd. Dat zal bijvoorbeeld UWV maar ook andere clubs die sociale wetgeving uitvoeren zeer helpen om fouten, zoekwerk en fraude te voorkomen.

Volgens een GBA-spreker is de fasering als volgt:
1 Beginnen met dubbel opslaan, zodat klanten niet twee keer hoeven uit te vragen.
2 Op termijn verdwijnen de adresgegevens uit GBA/BRP.
3 En worden in GBA uiteindelijk alleen sleutelgegevens over adressen vastgehouden.

Vergeleken met de adresgegevens die GBA nu kent worden er 4 nieuwe rubrieken voor het adres genoteerd:
-naam openbare ruimte (nu is rubriek beperkt tot 24 posities, de afkortingsnorm Boko wordt vervangen door NEN);
-woonplaatsnaam (Zaandam is een woonplaats, Zaanstad is de gemeente. Dat wrikte ook bij UWV Polisadministratie al.);
-identificatiecode verblijfplaats;
-,, ,, nummeraanduiding.

Bij de bovengenoemde wijziging komt veel kijken. GBA heeft 16.5M personen op persoonslijsten; daar moeten 4 attributen bij. Deze moeten allemaal naar de centrale voorziening. De gemeenten moeten voor 1 juli 2011 deze berichten doorgeven. En dat moet volgens planning, want ze kunnen niet allemaal tegelijk gaan doorgeven. Niet met deze volumes!

Er was een interessante workshop van de Inspectieraad. Deze raad is een samenwerkingsverband, waarin 14 (!) inspecties elkaar treffen. Het regeringsbeleid 2007 heeft hen opgelegd om te voorkomen, dat verschillende inspecties bij ondernemingen langsgaan als dat valt te voorkomen. In het kader van de verlaging van administratieve lasten voor bedrijven. Dat doe je dan door:
-toezicht coordineren
-verminderen toezichtslast
-effectief werken
-samenwerken in toezicht zelf
-bevorderen van het delen van applicaties en voorzieningen
-voorzieningen o.a. Inspectieview waarin je kunt zien wie er al is geweest, plannen, gezamenlijk rapporteren.
Voor eea is wel een referentiemodel nodig, zodat je dezelfde begrippen en definities gebruikt

Het valt me voortdurend op hoe belangrijk gegevensmodellen en stelselcatalogi worden. Het is duidelijk dat een architectuurbasis nodig is voor dergelijke grootschalige ict-ontwikkelingen. Allerlei diensten moeten op beleids-, tactisch - en uitvoerend niveau uitwisselen en de enige taal die daarbij uiteindelijk werkt, is de architectentaal!

De nieuwe Voedsel en Warenauthoriteit (één van de betrokken inspecties) had al een model gemaakt en daarop kon men voortborduren. Dat model was geinspireerd door uitgangspunten van de BAG. (Daarom stonden zij dus op deze BAG-implementatiedagen.)
In hun model nemen ze alle objecten van inspectie op. En daarnaast alle subjecten, (daarbij betrodie daarbij betrokken zijn.
Hun aanpak was om zoveel mogelijk aan te sluiten op wat er is. En dus goed te kijken naar de stelselcatalogus. De NHR (Nationaal Handels Register) bijvoorbeeld is nuttig, maar een inspectie moet soms meer weten en voegt dan attributen toe aan een object.

Kortom, er was van alles te horen op deze BAG-implementatiedagen. Het wordt daarbij duidelijk, dat de implementatie overal ter hand wordt genomen. En de grote opkomst bij deze bijeenkomst toont aan, dat de lagere overheden er serieus mee bezig zijn.