Ict-beveiliging is een groeimarkt met een verwachte omzet van 45 miljard dollar in 2006. Niet verwonderlijk, want hackers liggen constant op de loer. Verzekeringsmaatschappijen zullen waarschijnlijk firewall en virussoftware verplicht stellen. “Als ik mijn pand laat verzekeren, komt de verzekeraar eerst het alarm inspecteren.”
Even buiten Washington DC in een onopvallend gebouw bevindt zich een soort mission control vol computerschermen en telefoons. Op een groot scherm een animatie van een draaiende aardbol, waarop namen van steden soms rood oplichten. Vanuit deze ruimte bewaakt het Amerikaanse bedrijf Symantec, onder computergebruikers vooral bekend van antivirussoftware, de netwerken van ruim zeshonderd klanten. In totaal kunnen 12.000 computersystemen in 180 landen in de gaten worden gehouden. Vierentwintig uur per dag wordt er gekeken of er ergens in de wereld hackers op netwerken proberen in te breken. Mocht onverhoopt de stroom uitvallen, dan staat er een generator met ondergrondse brandstoftanks klaar. Geen mens komt hier binnen zonder toegangspas, pincode en hand-scanner. Zelfs op de toiletten zit een nummerslot. Symantec kocht het centrum vorig jaar voor een kleine 350 miljoen dollar. Soortgelijke bunkers staan in Engeland, Japan, Duitsland en San Antonio. Bedrijven betalen Symantec tussen de 1000 en 2000 euro per maand voor deze bewaking op afstand. Dat is weinig vergeleken met de circa 226.000 euro die ondernemingen verliezen als gevolg van hackeraanvallen. Het continu bewaken van computernetwerken is geen overbodige luxe, benadrukt directeur Grant Geyer van het Symantec Security Center in Alexandria. Hij vergelijkt internet met het wilde westen. “Iedereen kan er doen wat hij wil. Er is nauwelijks bescherming voor bedrijven. Het is alsof je een bank in een afbraakbuurt laat neerzetten.” De grote kracht van het bewakingscentrum van Symantec is volgens Geyer dat de activiteiten van hackers tegelijkertijd over de hele wereld gevolgd kunnen worden. “Je ziet geen geïsoleerde gevallen meer,” aldus Geyer. “Als zich ergens iets in Europa voordoet, kan het makkelijk naar andere continenten overslaan. Dat moment willen wij voor zien te zijn.”
Indianenverhalen
Niet onbelangrijk, vult dienst collega Vincent Weafer aan, want hackers worden steeds slimmer. “Hackers en virusschrijvers wisselen tegenwoordig informatie uit. Met als gevolg dat virussen zich veel sneller kunnen verspreiden dan in het verleden.” Hij wijst op het Slammer-virus dat in januari van dit jaar zo snel toesloeg dat 13.000 betaalautomaten van de Bank of America buiten werking werden gesteld. Volgens het bedrijf Internet Security Systems is het aantal hacker-aanvallen dit jaar alleen al in de VS met 37 procent gestegen. Onlangs beweerde het onderzoeksbureau Ernst & Young dat de helft van de Nederlandse bedrijven vorig jaar getroffen zou zijn door computercriminaliteit. De schade wordt geraamd op minimaal 185 miljoen euro. In Nederland neemt de belangstelling voor ict-beveiliging dan ook sterk toe. Dat concludeert Jos Geluk van Global Risk Management Solutions van PricewaterhouseCoopers. Met enkele tientallen werknemers adviseert Geluk bedrijven over hun computerbeveiliging. De belangstelling is volgens Geluk vooral het gevolg van opgeklopte verhalen in de pers: “Correcte analyses over beveiligingsincidenten lees ik eerlijk gezegd zelden. De soep wordt minder heet gegeten dan ze wordt opgediend.” Geluk bestookt zijn klanten dan ook liever niet met allerlei indianenverhalen. “Ict-beveiliging moet een onderdeel zijn van de kwaliteit die je als onderneming wilt bieden. Je moet zorgen dat de gegevens van je bedrijf niet op straat komen te liggen. Geen onderneming wil immers negatief in het nieuws komen. Bovendien is er kans dat je door incidenten het vertrouwen van je klanten schaadt.” Directeur Chris Brandt van het ict-beveiligingsbedrijf PointGroup uit Alphen a/d Rijn vindt de verhalen over beveiligingsgevaren echter niet uit de lucht gegrepen. “We hebben klanten die 3000 tot 8000 maal per dag bezoek krijgen van hackers, noem dat maar niets,” zegt hij. “Nederlandse bedrijven vergissen zich door te denken dat hackers niet geïnteresseerd zijn in een klein land als Nederland. Maar hackers weten helemaal niet dat ze te maken hebben met een Nederlands bedrijf. Die lopen gewoon allerlei computernummers of IP-adressen af om te kijken of ze ergens binnen kunnen komen. Hackers zijn ook helemaal niet op zoek naar bedrijfsgeheimen, ze willen alleen chaos veroorzaken. Daardoor kunnen ze wel de complete administratie of logistiek in de war schoppen.” Philips heeft vorig jaar naar verluidt zelf drie dagen lang platgelegen omdat hackers het bedrijfsnetwerk waren binnengedrongen. “Dat soort verhalen zult u niet in de krant lezen,” zegt Brandt. “Bedrijven proberen het buiten de publiciteit te houden.” Volgens Geluk van PricewaterhouseCoopers is het grootste beveiligingsprobleem niet zozeer de hackeraanvallen, maar de vele virussen en Trojaanse paarden (programma’s die een achterdeur voor hackers opzetten) die werknemers via e-mail binnenhalen. “Bedrijven verzuimen vaak onderhoud op hun systemen te plegen,” zegt Geluk. “Doordat de laatste virusinformatie niet wordt opgehaald of beveiligingslekken niet tijdig zijn gedicht, kunnen systemen makkelijk geïnfecteerd raken.” Op dit moment zijn het volgens Geluk hoofdzakelijk grotere ondernemingen die ict-beveiliging echt serieus nemen. “Je ziet dat ict-beveiliging steeds hoger in de organisatie komt. Vroeger was het hoofdzakelijk de taak van het hoofd automatisering, nu zijn er al bedrijven met een corporate security officer.”
Achterdochtig
Banken lopen voorop met de beveiliging, aldus Geluk. Zij hebben de beste mensen en technieken in huis. “Vaak ontwikkelen ze zelf oplossingen, waarover ze tegenover iedereen hun mond houden.” Bij het midden- en kleinbedrijf is er daarentegen nog nauwelijks enig besef van ict-beveiliging, iets dat volgens directeur Chris Brandt van PointGroup ook geldt voor notarissen, advocaten en gemeenten. “Erg dom, want die beheren informatie waarvan u niet wilt hebben dat ze in verkeerde handen komen.” “Om kosten te sparen, accepteren kleinere bedrijven nu eenmaal bepaalde beveiligingsrisico’s,” licht Geluk van PricewaterhouseCoopers de overwegingen van de kleine bedrijven toe. “Van een dorpsbibliotheek is het ook niet meteen een ramp als een deel van inventaris op straat komt te liggen.” Bedrijven die iets aan ict-beveiliging willen doen, beginnen dan ook meestal met een beveiligingscontrole of audit. In dat geval gaat de beveiligingadviseur eerst kijken hoe makkelijk het is om bij het bedrijf binnen te komen. “Veel ondernemingen zijn pas bereid te investeren nadat er iets vervelends is gebeurd,” zegt Brandt. “Dan mag er heel veel geld aan beveiliging worden uitgegeven. Maar vinden bedrijven ons maar recalcitrant, omdat we komen vertellen wat ze niet goed hebben gedaan.” Dat bedrijven soms wat achterdochtig zijn, kan ze ook weer niet echt kwalijk worden genomen. De ict-beveiliging is een groeimarkt met een verwachte omzet van 45 miljard dollar in 2006 (vergeleken met 7 miljard in 2001). Veel automatiseringsbedrijven proberen dan ook om diensten of producten aan bedrijven te slijten. Producten die lang niet altijd blijken te werken. Met name biometrische technieken die gebruikers toegang tot pc’s zouden moeten verschaffen, zoals vingerafdrukherkenners, vallen in de praktijk erg tegen. Wel is er van de kant van ondernemingen duidelijk behoefte aan technieken om het misbruik van internet door werknemers in te perken. Een systeembeheerder van een Amsterdams bedrijf werd onlangs betrapt op het moedwillig verspreiden van computervirussen. En het chemieconcern DSM moest al eens drie werknemers naar huis sturen omdat er een grote verzameling pornografisch materiaal op hun computers was aangetroffen. Ook het bedrijf van Brandt wordt nogal eens ingehuurd om onderzoek naar dit soort misbruik te verrichten. “Vorige week kwamen we nog een enorme hoeveelheid kinderporno tegen bij een onderneming waarvan u zult zullen zeggen: dat zijn toch keurige mensen, dat gebeurt daar toch niet? Maar werknemers van bedrijven zijn natuurlijk ook maar een afspiegeling van de maatschappij. Je hebt er goede en slechte tussen.” Een belangrijk deel van internet op slot doen voor werknemers is technisch wel mogelijk, maar niet raadzaam, aldus Brandt. “Dat je zo nu en dan eens wat gaat surfen is helemaal niet erg. Je geeft je medewerkers toch ook een telefoon waarmee ze de hele wereld kunnen afbellen?” Het neemt niet weg dat steeds meer bedrijven software willen installeren die het surfgedrag van hun werknemers in kaart brengen. Als iemand dan over de schreef gaat, kan hij direct tot de orde worden geroepen. Brandt verwacht dat vrijwel iedere onderneming in de toekomst moeilijk onder ict-beveiliging uit zal komen. “Verzekeringsmaatschappijen laten ict-beveiliging momenteel links liggen, maar dat zal zeker gaan veranderen. Als ik mijn pand wil laten verzekeren voor inbraak, komt de verzekeraar eerst alle sloten en het alarm inspecteren. Naar internet kijken ze niet, terwijl zonder goede maatregelen iedereen je pc kan leegroven.”
