Blogs

De Panama Papers houden de gemoederen de laatste tijd behoorlijk bezig. De ontkenningen zijn niet van de lucht, koppen rollen en de belasting autoriteiten en trust kantoren hebben hun handen vol met dank aan de onderzoeksjournalisten en een paar slimme hackers. 

De Panama Papers case toont op meerdere vlakken het falen van systemen, regels en procedures. Ik ga hier geen oordeel vellen over de bedrijven en particulieren wiens informatie op straat ligt ik ben nl gen belastingadviseur. 

Veel interessanter vind ik het om te analyseren hoe dit nu eigenlijk kon gebeuren. Een recent artikel op infoworld.com stelt dat ‘Slordige patching en onveilige plug-ins’ als de oorzaak van het lekken van de informatie moet worden gezien.

Kennelijk gebruikte Mossack Fonseca voor haar publieke website Wordpress en voor haar zogenaamde klanten portaal en het delen van ‘gevoelige en vertrouwelijke informatie’ Drupal. Hoewel Mossack Fonseca claimt dat haar mail server werd gehackt staat in ieder geval vast dat zowel de Drupal als Wordpress sites niet up-to-date waren. Een Wordpress security plug-in was minimaal 3 maanden out-of-date en de Drupal site was twee jaar out-of-date. 

Het word nog mooier de webserver stond niet achter een firewall en de website maakte gebruik van Revolution Slider een van de bekende Wordpress kwetsbaarheden.

De Drupal website van Mossaca Fonseca maakte gebruik van een versie waar notabene van bekend was dat er ‘kritische kwetsbaarheden door de Drupal community waren gemeld’. Deze bleken zo erg dat er geautomatiseerde aanvallen op Drupal sites wereldwijd werden gelanceerd op sites die niet waren gepatched en bijwerkt.

De slimme adviseurs van Mossack Fonseca hebben dan misschien verstand van het omzeilen van belastingregels door allerlei (dubieuze) constructies maar van IT en security hebben ze minder kaas gegeten.

Bezuinig niet op support

Je vraagt je af hoe het mogelijk is dat een bedrijf waar de cash flow wel het minste probleem moet zijn zo slordig en onachtzaam is met de vertrouwelijke en hoogst gevoelige informatie van hun klanten. Natuurlijk het bedrijf is gespecialiseerd in het adviseren over en het opzetten van constructies om ‘zo min mogelijk belasting te betalen’. Maar om voor ook voor je websites te kiezen voor ‘goedkope en gratis’ oplossingen en kosten te vermijden is zo blijkt vragen om moeilijkheden.

Voor Enterprise level oplossingen, security en support is PHP niet de juiste keuze, niet voor niets zegt Infoworld ‘PHP ontwikkelaars, vooral zij die werken met Wordpress, Drupal, Joomla etc. het wordt tijd om eens iets te gaan doen aan de security van de software waar zoveel websites op vertrouwen.’ De lage drempel die de PHP scripting taal met zich meebrengt heeft een duidelijke keerzijde. In de PHP wereld wordt veel geknutseld en ‘geforkt’, ontbreekt het in veel gevallen aan governance, en viert volgens sommigen amateurisme hoogtij.

PHP, nee bedankt

Ik raad iedereen aan om zeer kritisch te zijn en te blijven op organisaties die hun publieke websites en/of hun klant portalen op basis van PHP technologie ontwikkelen. Ik zou het wel weten als ik kon kiezen, dan toch liever een bedrijf (of organisatie) die security serieus neemt en haar klant portaal bouwt op bewezen enterprise technologie. Hoewel ik niets te verbergen heb beslis ik nl graag zelf wie er toegang heeft tot persoonlijke en vertrouwelijke informatie. Ik verwacht ook van de eigenaar van het klant portaal dat hij de juiste keuze maakt en maatregelen heeft genomen om mijn gegevens afdoende te beschermen. 

Velen van u die deze blog post lezen zijn ondernemer. In die zin kan ik u gerust stellen, als u inlogt op Mijn RVO, Rijksdienst voor Ondernemend Nederland, dan maakt u gebruik van een supported open source java platform.

Gelukkig zie ik in de markt dat voor klant portalen steeds vaker wordt gekozen voor echte robuuste  java portal enterprise platformen en de daarbij behorende support. Supported Open Source, security en enterprise oplossingen gaan heel goed samen zoals wij al jaren bewijzen. Niet voor niets is Liferay Portal o.a. in de financiële sector, bij overheden etc. aan een heel stevige opmars bezig.