Hackers, virussen, informatielekken: internet lijkt steeds onveiliger te worden. Of zijn dat slechts de verkooppraatjes van de beveiligingsbedrijven? De 13 ongelukken van internet.
1 Internet wordt steeds onveiliger
De cijfers spreken boekdelen: waren er in 1988 wereldwijd nog 6 incidenten, een jaar later waren het er al 132, in 1999 bijna 10.000, in 2000 21.000 en in de eerste maanden van 2001 al 34.000. De laatste tijd gaat het vooral om Denial of Service (DoS)-aanvallen: er worden grote hoeveelheden data naar een site gestuurd, waardoor systemen overvoerd raken en er de brui aan geven. Voor een belangrijk deel moet de toename van deze aanvallen worden toegeschreven aan het makkelijker beschikbaar zijn van scripts op internet om dit soort aanvallen automatisch uit te voeren, en om zelf virussen te maken. Ook staan er meer pc's van gebruikers open, die met een virus deelnemer worden gemaakt aan een aanval. De groei van het aantal aansluitingen, en zeker ook van het aantal pc's dat permanent is aangesloten (tv-kabel en adsl), maken internet zeker onveiliger.
2 Het grootste gevaar op internet zijn hackers
Zijn hackers de Robin Hoods van het digitale tijdperk, of criminelen die uit zijn op persoonlijk gewin? Ze bestaan allebei. Veel internetgebruikers van de eerste generatie droomden van een internetvrijplaats. Zij voeren een kruistocht tegen alles wat naar geld ruikt op internet en willen uw bedrijf graag in zijn hemd zetten door aan te tonen dat de persoonlijke gegevens van uw klanten op straat liggen. Hacken doen ze voor de sport, om beveiligingsmaatregelen te ontwijken en zo uiteindelijk het niveau van beveiliging te verhogen. Zij balanceren op een smal koord van wat wel en wat niet mag. En soms vallen ze daarvan af. Zij verschillen van de script kiddies, jongens en meisjes die voor de lol en zonder inventiviteit aanvallen uitvoeren met software die ze vaak op internet vinden met als doel om zoveel mogelijk schade aan te richten. Dit heeft nog het meeste weg van vandalisme.
Maar nee, hackers vormen absoluut niet het grootste gevaar. Die komt van mensen met een criminele intentie binnen en buiten het bedrijf. En door onachtzaamheid. Je hoeft geen whizzkid te zijn om informatie van een draadloos netwerk te plukken. En uw concurrent wil graag weten waar u mee bezig bent. De belangen zijn soms groot.
3 Ik zit veilig achter een firewall met een recente virusscanner, mij kan niets gebeuren.
Het is net als met een huis: een stevige voordeur en een alarm houden de meeste dieven buiten, maar niet allemaal. Dieven worden ook steeds handiger en zoeken de zwakste schakel in de beveiliging. Daar komt bij dat een goede firewall kiezen een hele klus is en onderhoud vergt. De meeste bedrijven schaffen dan wel een firewall en een virusscanner aan, maar het mag vooral niet te veel kosten en dus wordt er beknibbeld op het onderhoud. En zelfs dan is een bedrijf nog niet veilig: een boze medewerker hoeft de achterdeur maar open te zetten en uw hele netwerk is zo lek als een mandje.
4 Onveilige software moet worden verboden
Wie in Europa een auto op de markt brengt, moet aan zevenhonderd veiligheidsvoorschriften voldoen. Maar wie software verkoopt, hoeft langs geen enkele keuringsinstantie. Wie ooit de moeite heeft genomen de disclaimers bij de software te lezen, schrikt van de gevaren waarvoor de leverancier geen enkele aansprakelijkheid accepteert. Als Ford en Firestone dat hadden kunnen doen, hadden ze zich veel ellende kunnen besparen. Een verbod van onveilige software is echter vooralsnog praktisch onhaalbaar. Wat al helpt, is dat de IT-beheerder de software kent en op tijd aanpast als er lekken zijn.
5 Ik heb een inboedelverzekering. Die geldt ook tegen digitale vernieling
Zeg dat maar niet te hard, want uw verzekeraar is in staat de premie onmiddellijk te verhogen. Maar nee, de inboedelverzekering dekt niet de diefstal van bedrijfsgegevens. Dus mocht u slachtoffer zijn van zo'n cyberkraak, dan wilt u misschien per ongeluk een glas water boven de harde schijf omgooien, want dan is in ieder geval de schade van de hardware gedekt.
Het is overigens wel te verwachten dat zo'n verzekering er komt of dat de polis van de inboedelverzekering wordt uitgebreid. Een mkb-bedrijf heeft tenslotte een groot probleem als de hele boekhouding verdwijnt. En wie zal dat betalen? Met het bepalen van de risico's hebben verzekeraars echter nog geen ervaring, maar dat is slechts een kwestie van tijd.
6 Software huren is veilig, maar de verbindingen zijn nog niet betrouwbaar
Waarom software kopen als je het net zo makkelijk en snel kunt huren. Dat was de sales pitch van application software providers (asp's), die vorig jaar ook in ons land als paddestoelen uit de grond schoten. Maar sindsdien is het oorverdovend stil geworden rond deze software uit de kraan. Bedrijven zijn er huiverig voor om hun bedrijfsinformatie op een computer ergens in een datacenter te plaatsen. Dat datacenter is weliswaar als een bunker beveiligd, maar hoe zit het met de lijntjes er naar toe?
Zoals veel in het leven is ook dit een kwestie van geld. De verbindingen zijn betrouwbaar te maken, met de asp kun je afspraken maken over de kwaliteit van de service, de applicatie en de verbinding. Maar de meeste asp's leveren het pakket en laten hun klant het verder zelf maar uitzoeken. Er is bovendien nog weinig duidelijkheid over de aansprakelijkheid van asp's. Er zijn wel contracten met service level agreements, maar je moet de kleine lettertjes goed lezen. Maar aan de verbindingen ligt het meestal niet.
7 Thuiswerken mag in ons bedrijf niet, want dat is onveilig
Dit valt in de categorie smoezen. De thuiswerker is prima te beveiligen, met IP-secure, tunneling, firewalls en een goede packet-filtering. Dat kan gewoon op de pc die de werkgever voor het thuiswerken verstrekt, vooraf worden geïnstalleerd. Het grootste veiligheidsrisico is ook niet de techniek, maar de werknemer. De werkgever zal een deel van de aansprakelijkheid bij die werknemer moeten neerleggen en een verbod uitvaardigen de configuratie van de pc te wijzigen.
Onlangs brak er een klein relletje uit omdat een telecombedrijf per ongeluk had gezegd welke methode van beveiliging een klant, een ministerie gebruikte. De top van het ministerie reageerde furieus, vanuit een soort onderbuikgevoel en uit de angst erop aangesproken te worden als het mis gaat. Maar er is zoveel informatie over beveiligingsmethodes beschikbaar en in het algemeen is het slecht om security through obscurity als uitgangspunt te nemen, al is het maar omdat het een vals gevoel van veiligheid wekt.
8 Cyberterroristen ontwikkelen binnenkort het finale virus
Virussen worden gemener en verspreiden zich sneller. Maar ook de beveiligers worden slimmer en kunnen sneller reageren op virussen. Zo gaat het al twintig jaar en ook de komende twintig jaar zullen de bedenkers van virussen en hun bestrijders nog wel in deze wapenwedloop verwikkeld zijn. En dus zelfs als er een dodelijk virus wordt ontwikkeld, zal internet waarschijnlijk niet langer dan een dag plat gaan. En vervolgens is de beveiliging weer wat beter geregeld.
9 Proletarische winkelen is de norm op internet
Napster heeft het voortouw genomen en sindsdien is het hek van de dam. Via peer to peer (p2p)-netwerken worden volop bestanden zoals muziek en software onderling tussen aangesloten pc's uitgewisseld en dat kost het bedrijfsleven miljarden per jaar.
Maar is dat de schuld van internet, of moet de muziekbranche zijn muziek beter beveiligen? Moet de vrije uitwisseling van informatie aan banden worden gelegd omdat er soms misbruik van wordt gemaakt? U mag zelf het antwoord geven op deze vraag.
10 Creditcard transacties werden terecht niet gedekt door de banken
Interpay, de instantie die namens de banken het betalingsverkeer regelt, heeft jarenlang geweigerd zich garant te stellen voor betalingen met creditcards op internet. Ook hier speelt de angst voor het onbekende de hoofdrol. Creditcard transacties zijn op internet niet onveiliger dan transacties met creditcards op andere manieren. Het maakt geen verschil of je met een kaart een pizza betaalt in Caïro of een T-shirt over internet bestelt in Amerika.
11 Zonder digitale paspoortcontrole gaat internet kapot
Voor de transport- en communicatiefunctie van internet is identificatie helemaal niet nodig, hooguit voor transacties. Een snelle informatie-uitwisseling is inmiddels een verworvenheid, die de maatschappij niet zomaar in gevaar zal brengen met een digitale paspoortcontrole.
Voor transacties zul je als bedrijf zelf je maatregelen moeten treffen. Als Brinks tienduizend bankbiljetten wil vervoeren, dan moet die auto goed gepantserd zijn. Als de auto dan toch overvallen wordt, geeft Brinks toch ook niet de schuld aan de weg. En ook transacties zijn te beveiligen met een zekere mate van anonimiteit. Uiteindelijk wil iedereen de garantie dat hij zijn geld of goed krijgt; van wie dat afkomstig is, is in zekere zin bijzaak.
12 Er moet meer blauw de digitale snelweg op
Zeker na de recente terreuraanslagen en de waarschuwingen voor een cyberoorlog is de roep om meer cybercops met meer bevoegdheden sterk toegenomen. Maar er zijn vele manieren om aan de aandacht van de overheid en de politie te ontsnappen. De roep om het hele internet dan maar af te luisteren, is vooral een emotionele reactie. De verkeersstromen zijn gigantisch en je kunt alleen berichten onderscheppen als je weet waar je naar op zoek bent. Er is dan ook niet zozeer een gebrek aan agenten of aan bevoegdheden, maar aan politiemensen die goed zijn opgeleid en weten waar ze mee bezig zijn.
13 President Bush is de redder van internet
In reactie op de aanslagen op het WTC wil president Bush encryptie, het versleutelen van berichten, verbieden. Niet zo slim. Ten eerste omdat versleuteling niet te verbieden valt. Het is hetzelfde als iemand verbieden om aan seks te denken. Bovendien heeft Bush niet zoveel invloed op internet als hij graag zou willen. En terroristen weten altijd wel weer nieuwe manieren te vinden om hun boodschappen over te brengen. Met een verbod tref je daarom alleen mensen die zich hier niet tegen weten te wapenen.
Alle inspanningen van justitie in de VS die gericht zijn op beperkingen, zijn dan ook zinloos. Dat is goed nieuws voor bedrijven die hun geheimen graag goed willen beveiligen op internet. Encryptie wordt bij steeds meer bedrijven gebruikt voor webverkeer, maar met e-mail nog nauwelijks. Met certificaten voor beveiliging wordt nauwelijks gewerkt, want ze zijn voor veel bedrijven te duur. Maar het bewustzijn neemt toe en Bush zal wel weer snel in zijn hok gaan.
Aan dit verhaal werkten mee
Jacques Schuurman en Jan Meijer werken voor de afdeling service & support van Surfnet. Surfnet biedt nettoegang aan het hoger onderwijs. De afdeling voert met tien personen de taken uit van Cert(.org), de mondiale beveiligingsorganisatie in Pittsburg. In het rapport Kwetsbaarheid van Internet (Kwint) van het ministerie van Verkeer en Waterstaat wordt voorgesteld om Cert.nl uit te breiden en deze club behalve het wetenschappelijke deel van internet ook het bedrijfsleven online te laten bijstaan op het gebied van beveiliging. Die uitbreiding gaat waarschijnlijk niet door.
Job de Haas is medeoprichter en directeur van internetbeveiligingsbedrijf ITSX in de Watergraafsmeer in Amsterdam. De Haas behoorde tot een van de tophackers in Nederland, die op hun beurt vroeger mondiaal vermaard waren vanwege hun vernuft om lekken in telefoniesystemen en internetsoftware aan te tonen. Nu verdient hij zijn brood met het beveiligen.
