Bedrijfsleven mist voor online veiligheid echte waakhond

Poedelnaakt

Marie-José Klaver
(Internet in Business, april 2001)

Meer en meer virussen, hardleerse werknemers, handige hackers: veiligheid en Internet vormen nog altijd een slechte combinatie. Computercriminaliteit komt in steeds meer soorten en maten. De gevolgen kunnen zelfs tot de - economische - dood van bedrijven leiden. Beveiliging is een continu en complex proces - en dus moeilijk.

Een virus maken is niet echt ingewikkeld. Een kant-en-klare virusgenerator downloaden van Internet, een paar keer klikken om wat functies toe te voegen en het virus in een nieuwsgroep plaatsen. Bij voorkeur vermomd als een foto in een seksgroep. En dan wachten tot de bom barst.

De 20-jarige Jan de W. uit Friesland maakte in februari van dit jaar op deze manier een virus. Programmeren kon hij niet, zo bleek uit zijn vragen in nieuwsgroepen. Maar nieuwsgierig was hij wel. Jan wilde graag weten of computergebruikers echt zo dom waren als IDC beweerde. Volgens het marktonderzoeksbureau hadden Internetgebruikers niets geleerd van het ILOVEYOU-virus dat vorig jaar voor tien miljard dollar aan schade veroorzaakte. Een week voor Valentijnsdag bracht IDC de resultaten van een onderzoek over virusrisico's naar buiten. 37 Procent van de werknemers zou rustig klikken op een attachment met de titel 'I love you', zo bleek uit het onderzoek. Dat een gelijknamig virus in mei vorig jaar wereldwijd een spoor van vernielingen trok, was blijkbaar alweer vergeten.

Jan nam de proef op de som. Hij liet zijn Anna Kournikova-virus op 12 februari los. Het virus, vernoemd naar de bekende Russische tennisspeelster,

CASE01 Een afwasser uit New York steelt miljoenen dollars van beroemdheden als Oprah Winfrey en Steven Spielberg. De 32-jarige Abraham Abdallah, die in februari werd gearresteerd, heeft ongeveer 200 mensen die op de Forbes 400-lijst van rijkste Amerikanen gedupeerd door hun rekeningen te plunderen. Hij deed dat via Internet en computers in de openbare bibliotheek in Brooklyn. Abdallah deed zich via email en een mobiele telefoon voor als de beroemdheden en wist zo allerlei gegevens als geboortedata, adressen, bankrekeningnummers en creditcard-nummers los te krijgen bij financiële instellingen. Met die gegevens en vervalste emailaccounts boekte hij grote sommen geld over naar zijn eigen rekening. Abdallah werd gepakt toen hij vanaf een Yahoo-account tien miljoen dollar van de rekening van softwaremiljonair Thomas Siebel wilde opnemen.

verspreidde zich razendsnel over de wereld. Jan had 'Anna' zo ingesteld, dat ze zichzelf naar alle adressen in het adresboek van Outlook kopieerde. Honderdduizenden computers raakten besmet omdat gebruikers het klikken niet laten konden.

Met 'Anna' bewees Jan niet alleen dat computergebruikers naïef zijn. Ook de stelling van IDC, dat de meeste bedrijven hun antivirussoftware niet erg vaak actualiseren klopt, zo blijkt uit dit virusincident. Het Anna-virus was gebaseerd op een ander virus, dat al sinds augustus 2000 bekend is en verwijderd wordt door alle bekende virusscanners.

De schade die het Anna-virus heeft aangericht, bedraagt op zijn minst enkele miljoenen dollars. Eigen schuld, schreef Jan, die zichzelf een paar dagen later zou aangeven bij de politie in zijn woonplaats Sneek, op zijn homepage. Moet je maar niet zo stom zijn om zomaar een attachment te openen. Misschien is het ook wel een beetje de schuld van Anna Kournikova, voegt de virusmaker er nog aan toe: 'she is so pretty..'.

Het Anna Kournikova-virus maakte niet alleen gebruik van de zwakheden van de gemiddelde computergebruiker. Ook de zwakheden van het Microsoft-programma Outlook werden uitgebuit. De meeste bedrijven en particuliere gebruikers hebben Outlook zo ingesteld dat de software automatisch programma's uitvoert. De meeste gebruikers hebben er geen flauw benul van dat Windows en Outlook default toestaan dat derden allerlei handelingen kunnen uitvoeren die schadelijk voor de gegevens op de harde schijf en de privacy zijn.

Nieuwe virussen verschijnen in een hoog tempo.

CASE02 Nederlandse computerkrakers jagen Oostenrijkse bedrijven op kosten door voor miljoenen guldens aan telefoongesprekken met landen als Thailand, Iran en Saoedi-Arabië te voeren. De rekeningen werden naar de getroffen bedrijven gestuurd. De Nederlanders konden inbreken via een bekend lek in de telefooncentrale van de bedrijven. De fabrikant van de centrale had zijn klanten al gewaarschuwd voor het lek en de schade die crackers toe zouden kunnen brengen, maar de meeste bedrijven hebben die waarschuwing genegeerd.

De ene uitbarsting is nog niet voorbij of er is alweer een nieuw schadelijk virus dat zich razendsnel verspreidt. Direct na de uitbarsting van het Anna-virus verscheen er een nieuw virus, dat aan nog lagere instincten van gebruikers appelleerde. 'Naked Wife' is zogenaamd een pornofilmpje. Zodra het wordt aangeklikt, gaat het virus op zoek naar bestanden die eindigen op .dll, .ini, .exe en .com en verwijdert deze. Na het Naked Wife-virus volgde het W32.Magistr/MM-virus. Dit virus is voor gebruikers en antivirusprogramma's heel moeilijk te herkennen omdat het zichzelf steeds vermomt. Het verspreidt zichzelf bovendien niet alleen via email, maar ook via Worddocumenten. Gebruikers die dit virus per ongeluk activeren, lopen het risico dat de inhoud van hun harde schijf wordt verwijderd en dat de schijf onbruikbaar wordt.

Volgens het Britse antivirusbedrijf Messagelabs wordt momenteel elke minuut een virus onderschept. Vorig jaar voorkwam de scansoftware van Messagelabs elke drie minuten een virusbesmetting. Oude virussen blijven lang rondwaren. In de top tien van meest voorkomende virussen van Messagelabs komen drie varianten van het ILOVEYOU-virus, ook wel LoveLetter genoemd, voor.

Het ultieme doel van virusmakers is de antivirusbedrijven te slim af zijn. "Virusmakers worden steeds slimmer en, gebaseerd op de geschiedenis, denk ik dat ICT-managers en hun personeel zich moeten voorbereiden op nog een grote uitbarsting", zegt Vinny Gullotto, het hoofd van het virus emergency response team van McAfee.

Vandalisme

Niet alleen het aantal virussen en virusbesmettingen neemt toe. Ook andere vormen van computercriminaliteit - zoals inbraken, vandalisme, informatiediefstal, denial of service-aanvallen en fraude - komen steeds vaker voor. Uit het jaarlijkse onderzoek van het Computer Security Institute en de FBI blijkt dat 85 procent van de deelnemers het afgelopen jaar last heeft gehad van computercriminaliteit. Het aantal incidenten is sinds 1996 met 42 procent toegenomen, zo blijkt uit de 2001 Computer Crime and Security Survey (zie kader).

Ook het Computer Emergency Response Team (Cert), een gezaghebbend beveiligingsinstituut van de Amerikaanse overheid, zegt de laatste jaren veel meer meldingen van beveiligingsproblemen te krijgen. Vorig jaar werden er ruim 21.750 incidenten gemeld bij Cert. In 1999 waren het er ongeveer 9.990 en in 1998 ruim 3.700. In 1988, het jaar dat Cert werd opgericht, kwamen er zes meldingen binnen.

Het werkelijke aantal beveiligingsincidenten zou nog wel eens veel hoger kunnen liggen omdat bedrijven beveiligingsproblemen het liefst stil houden. "Je moet altijd voorzichtig zijn met cijfers", zegt beveiligingsdeskundige Edo Roos Lindgreen, partner bij KPMG Information Risk Management. "Veel bedrijven doen geen aangifte van beveiligingsproblemen omdat ze bang zijn voor negatieve publiciteit. Met name beursgenoteerde bedrijven willen geen aangifte doen. Dat is begrijpelijk, maar het zou voor de hele beveiligingswereld beter zijn als ze wel naar de politie zouden gaan."

Adequate computerbeveiliging is voor veel bedrijven en instellingen een moeilijke opgave. "Bedrijven leren niets van fouten die gemaakt zijn", zegt Job de Haas van computerbeveiligingsbedrijf ITSX. "Er zou veel meer tijd en geld in beveiliging gestoken moeten worden. Bedrijven realiseren zich niet dat hun gegevens veel waard zijn en dat ze geld verliezen als de computersystemen niet meer werken. Ook het imago van een bedrijf loopt schade op na een hackaanval."

Uit een Brits onderzoek blijkt dat slechts 24 procent van de grote en middelgrote ondernemingen zich bewust is van computerbeveiligingsrisico's binnen het bedrijf. 18 Procent van de kleine bedrijven weet niet welke risico's slecht beveiligde computersystemen met zich meebrengen. Het onderzoek werd tussen eind januari en half februari gehouden onder ruim 300 managers van 'gewone' en Internetbedrijven. Eén op de vier kleine bedrijven zei geen idee te hebben of ze de risico's van het gebruik van informatie- en communicatietechnologie onder controle hebben. Grotere bedrijven zijn overtuigder van de capaciteiten van de eigen onderneming: 90 procent meent beveiligingsrisico's te kunnen managen. Meer dan driekwart van de deelnemers aan het onderzoek dat werd uitgevoerd in opdracht van het beveiligingsbedrijf SafeOnline kan overigens niet benoemen om welke risico's het gaat.

Ernstig

ITSX is gespecialiseerd in penetratietesten. Het bedrijf probeert op uitnodiging van de opdrachtgevers netwerken en computers binnen te dringen. De beveiligingsdeskundigen kruipen in de huid van de hacker en proberen alle bekende lekken, kwetsbaarheden en configuratiefouten uit. Ze komen altijd binnen. "De beveiliging is vaak niet goed. Zelfs bij banken en verzekeraars komen we situaties tegen die vrij ernstig zijn. We kunnen in de meeste gevallen veel meer dan de opdrachtgever voor mogelijk had gehouden", zegt De Haas.

Volgens hem is gebrek aan voorlichting een veel gemaakte fout. "Je kunt wel voor veel geld dure machines kopen die je systemen moeten beschermen, maar als je medewerkers niet weten dat beveiliging belangrijk is, helpt dat niets." De meeste bedrijven realiseren zich volgens De Haas niet dat een slecht geïnstrueerde of ongemotiveerde medewerker net zo gevaarlijk kan zijn als een computercrimineel die van buitenaf een netwerk probeert binnen te dringen. Een medewerker die een slecht wachtwoord kiest of stiekem een modem aan zijn pc heeft hangen, brengt de hele integriteit van het netwerk in gevaar. "Iedereen binnen het bedrijf moet meewerken aan het beveiligingsbeleid. Anders werkt het gewoon niet. Helaas is daar weinig aandacht voor."

Tachtig tot negentig procent van de beveiligingsincidenten wordt veroorzaakt door het eigen personeel, zegt Roos Lindgreen. "De mens is de zwakste schakel. Een beheerder die is vergeten om de juiste patch [reparatieprogramma; MJK] te installeren of een helpdeskmedewerker die in goed vertrouwen een inlognaam en een wachtwoord aan een onbevoegde geeft."

Soms gaan interne beveiligingsproblemen verder dan een slecht gekozen wachtwoord. Kevin McPeake van Internetbeveiligingsbedrijf Trust Factory heeft meegemaakt dat een regiodirecteur van een groot bedrijf inbrak op netwerken van concurrenten met de loginnamen en wachtwoorden van ondergeschikten. Toen de onschuldige medewerkers ontslagen dreigden te worden, schakelde de systeembeheerder van het bedrijf McPeake in. Die ontdekte dat het de directeur was die de geheimen van de concurrent probeerde te stelen.

Gaten

Beveiliging is zo ingewikkeld omdat het gaat om een continu proces, meent Roos Lindgreen. "Je hebt te maken met complexe technologieën. Alles is gekoppeld aan alles tegenwoordig. Er verschijnen bovendien voortdurend nieuwe versies van programma's. Bij veel bedrijven ontbreekt de kennis en de capaciteit om alles bij te houden en te controleren. Vaak hebben systeembeheerders eenvoudigweg de tijd niet om alle patches te installeren." Een ander probleem is het verloop van personeel. Roos Lindgreen: "Mensen maken carrière. Hun opvolgers maken vaak weer dezelfde fouten."

Een goed beveiligingsplan opstellen en testen kost veel tijd. De implementatie van de Code voor Informatiebeveiliging bijvoorbeeld, een beveiligingsstandaard die is gebaseerd op 'best practices', kan een jaar tot anderhalf jaar duren. De Code voor Informatiebeveiliging, die door ruim tien procent van de bedrijven en instellingen in Nederland wordt gebruikt, bestaat uit een groot aantal maatregelen en procedures. Zo moet er onder meer een goedkeuringsprocedure voor nieuwe ICT-voorzieningen worden opgesteld, zodat men er zeker van kan zijn dat de apparatuur voldoende is en de bestaande infrastructuur niet aantast.

Een ander onderdeel van de Code voor Informatiebeveiliging is de clear desk policy. Zodra medewerkers hun werkplek verlaten, moeten ze diskettes en documenten veilig opbergen. Bedrijven kunnen hun implementatie van de code laten certificeren door KPMG en Kema. Maar zo'n certificaat absoluut geen garantie voor 100 procent beveiliging, zegt Roos Lindgreen, die ook als docent aan de Universiteit van Amsterdam en de Technische Universiteit Delft is verbonden. "Bedrijven geven ermee aan dat ze voldoen aan bepaalde minimumeisen op het gebied van beveiliging. Maar er zitten waarschijnlijk nog steeds gaten in de beveiliging. Een voordeel van de code is dat nieuwe beveiligingsproblemen snel kunnen worden opgelost omdat bedrijven een procedure hebben en omdat duidelijk is wie verantwoordelijk is."

Ook het testen van beveiligingssoftware en hardware kost veel tijd. Een onderzoek van TNO-FEL Information Security Evaluation Facility duurt 3 maanden tot een jaar, vertelt Dirk-Jan Out. De evaluatie-afdeling van TNO-FEL test beveiligingssoftware zoals firewalls en chipkaarten. De tests worden op verzoek van de fabrikanten uitgevoerd. De onderzoeksresultaten zijn niet openbaar. "De kwaliteit van de producten varieert sterk", zegt Out. "Soms krijgen we dramatisch slechte producten." Vrijwel geen enkel product voldoet aan de criteria van TNO-FEL Information Security Evaluation Facility. "Als fabrikanten ons keurmerk willen hebben moeten ze hun producten aanpassen. Daarna voeren we opnieuw een test uit." Het komt volgens Out voor dat producenten hun programma's of hardware terugtrekken omdat ze niet bereid zijn de benodigde aanpassingen door te voeren. "Dat is dan te duur voor ze", zegt Out. Sommige van deze producten worden toch op de markt gebracht. "TNO heeft er dan niets meer mee te maken."

Het komt voor dat pas na jaren blijkt dat een product onveilig is. Kevin McPeake en Wouter Aukema van Trust Factory hebben gedurende lange tijd onderzoek verricht naar de beveiligingsarchitectuur van Lotus Notes. De kantooromgeving, die door grote bedrijven en geheime diensten als de CIA wordt gebruikt, stond bekend als zeer veilig tot de computerdeskundigen vorig jaar op het hackerscongres DefCon in Las Vegas hun onderzoeksresultaten publiceerden, waarmee ze aantoonden dat zelfs dit product niet absoluut veilig is. "We hebben natuurlijk contact opgenomen met Lotus en ze volledig op de hoogte gebracht van onze bevindingen. Bij de openbaarmaking hebben we niet alle technische details prijs gegeven om Lotus meer tijd te geven om met oplossingen te komen", zegt Wouter Aukema.

Stelen

Hoewel slechts een klein percentage van de computerbeveiligingsincidenten door buitenstaanders wordt gepleegd, staan de kranten vol verhalen over gevaarlijke hackers. Over hackers bestaan veel misverstanden. Met de term worden zowel de computercriminelen die vertrouwelijke informatie stelen en veel schade aanrichten aangeduid als de idealisten die zich zorgen maken om de privacy van Internetgebruikers. Vaak ook zijn hackers tieners die uit nieuwsgierigheid in computersystemen inbreken en er genoegen in scheppen systeembeheerders te slim af te zijn.

Lange tijd gold de term hacker als een geuzennaam voor uiterst bekwame computerdeskundigen. In het boek Hackers. Heroes of the Computer Revolution (1984) beschrijft de Amerikaanse journalist Steven Levy op meeslepende wijze het leven en arbeidsethos van de eerste computerprogrammeurs in de jaren vijftig en zestig.

Hacken betekende voor deze wetenschappers creatief omgaan met technologie en net zo lang doorprogrammeren tot een probleem met mooie software is opgelost. Met een geslaagde hack toon je aan dat je de computer te slim af kunt zijn.

Uit hun verhalen destilleerde Levy de 'hackerethiek', waarvan één van de regels luidt: alle informatie moet vrij zijn. Als je ergens bij wilt, mag je het wachtwoord van je collega kraken, want hij had zijn gegevens helemaal niet mogen beveiligen. Een ethische hacker zal ook altijd de systeembeheerder waarschuwen als hij een lek heeft ontdekt en uitleggen hoe hij het probleem kan oplossen.

Hackers die het vooral om de technische uitdaging gaat, worden niet graag met misdaad en vandalisme geassocieerd en staan er op dat criminele hackers crackers worden genoemd. De scheidslijn tussen computercriminelen en computerprofessionals is echter vaak flinterdun. De maker van het Melissa-virus, dat in 1999 voor meer dan 190 miljoen gulden aan schade veroorzaakte, werkte bijvoorbeeld als programmeur. De Nederlandse hacker Dimitri die erin slaagde bij Microsoft in te breken, werkte als supportmedewerker bij automatiseringsbedrijf Getronics.

Er zijn de laatste jaren ook veel computerleken actief die websites vernielen of platleggen. De overvloedige aanwezigheid van simpel te gebruiken programma's waarmee virussen gemaakt en websites gekraakt of platgelegd kunnen worden, brengt menig Internetgebruiker in de verleiding om ze daadwerkelijk te gebruiken. Hackers die van kant en klare programma's gebruik maken, worden script kiddies genoemd. Ze zijn doorgaans jong (tussen de twaalf en twintig jaar oud) en maken misbruik van de kennis die computerdeskundigen uitwisselen.

Volgens beveiligingsdeskundigen overtreffen script kiddies de hackers (die het vooral gaat om de werking van computers en programma's) inmiddels in aantal. Vermoed wordt dat er elke dag tienduizenden jongeren misbruik proberen te maken van lekken in software. Alleen al in Nederland zijn volgens een insider uit de hackerswereld meer dan 500 computerkrakers actief die in 1999 meer dan 20.000 websites hebben beschadigd.

Het is niet moeilijk om een script kiddy te worden. Er zijn talloze websites, nieuwsgroepen en mailinglijsten waar informatie wordt uitgewisseld over de nieuwste ontdekkingen op het gebied van software- en privacylekken, ook wel bugs genoemd. Vaak worden lekken en mogelijke inbraakmethoden stap voor stap uitgelegd. Full disclosure wordt deze praktijk in beveiligingskringen genoemd. De beschrijvingen, op mailinglijsten als BugTraq, zijn niet bedoeld om misbruikt te worden, maar juist om netwerkbeheerders in staat te stellen snel een lek te dichten. Maar de aanwezigheid van script kiddies op professionele mailinglijsten is haast niet te voorkomen. En als informatie eenmaal bekend is op Internet, kan het ook niet meer verwijderd worden.

Schade

Naast informatie over lekken is er een keur van hackertools verkrijgbaar op het web en in nieuwsgroepen. Sommige van deze programma's kunnen veel schade veroorzaken. De aanvallen op Amazon.com, CNN, Yahoo en enkele andere grote websites in februari 2000 zijn uitgevoerd met een programma dat de dader, een 15-jarige jongen uit Canada, gewoon van het web heeft gehaald. Er zijn talloze programma's verkrijgbaar, zoals Trin00, Stacheldraht en Shaft, om denial of service-attacks mee uit te voeren. De schade van de aanvallen bedraagt miljarden guldens.

Oudere en technisch begaafdere hackers kijken neer op script kiddies omdat ze niet zelf kunnen programmeren en met hun ondoordachte, maar vaak zeer schadelijke acties de hackercultuur in een kwaad daglicht stellen. "E-vandalisme creëert de perceptie dat hackers erop uit zijn een heleboel schade aan te richten", zegt Brian Martin van Attrition.org, een website met een overzicht van gehackte websites. Script kiddies vinden het vooral leuk om beroemd te worden in cyberspace. Gevaarlijk zijn script kiddies niet omdat ze toch niets van computers afweten, meent Martin.

"Het aantal aanvallen van buitenaf neemt toe, maar de kwaliteit neemt af", zegt Roos Lindgreen van KPMG Information Risk Management. Ook hij denkt dat de meeste script kiddies ondeskundig zijn. "Er worden heel veel kant en klare hackprogramma's gebruikt. De meeste aanvallers hebben geen idee wat ze aan het doen zijn."

De praktijk van full disclosure staat inmiddels ter discussie in beveiligingskringen. De gewoonte om een pas ontdekt softwarelek of nieuwe inbraakmethode openbaar te maken, is ontstaan omdat beveiligingsinstanties als Cert en softwarefabrikanten zo traag reageerden op lekken en andere beveiligingsproblemen. Door alle details van een beveiligingsprobleem bekend te maken, willen de ontdekkers van lekken druk uitoefenen op de verantwoordelijke bedrijven en instanties om snel klanten en gebruikers te waarschuwen reparatieprogramma's uit te brengen.

"Full disclosure creëert een enorm leger aan script kiddies", zegt Marcus Ranum van het softwarebedrijf Flight Recorder Network dat programma's maakt om hackaanvallen te ontdekken. Ranum en andere beveiligingsdeskundigen pleiten ervoor om informatie over lekken en kwetsbaarheden alleen in kleine kring uit te wisselen. Er zouden dan minder hackertools worden gemaakt en minder aanvallen en inbraken zijn. Echte deskundigen kunnen zich dan over oplossingen buigen.

Misbruik

Trust Factory heeft er bewust voor gekozen om niet alle details over de lekken in Lotus Notes te verraden, om zo misbruik te voorkomen. "Wij wilden op een verantwoordelijke manier met onze kennis omgaan", zegt Aukema. Het Amerikaanse beveiligingsbedrijf 8th Port heeft tot grote opluchting van de FBI besloten om een programma waarmee inbraakdetectiesoftware onschadelijk gemaakt kan worden niet openbaar te maken. Het programma, Stick geheten, stuurt binnen twee seconde zoveel signalen naar beveiligingssoftware dat deze op hol slaat en niet in de gaten heeft dat een hacker binnenkomt. Stick, dat in staat is om 450 verschillende hackaanvallen te simuleren, is dermate geavanceerd dat de Amerikaanse inlichtingendienst National Security Agency (NSA) het programma het predikaat 'For Official Use Only' gaf. De FBI waarschuwde al eerder voor het programma.

Minder uitgebreide informatie over beveiligingslekken kan leiden tot minder aanvallen van script kiddies. De vraag is alleen wie als deskundig genoeg geldt om te mogen toetreden tot de kring van beveiligers die toegang mag hebben tot full disclosure informatie over lekken. John Vranesevich van de antihackerssite AntiOnline voorziet twee problemen als lekken en kwetsbaarheden niet meer openbaar worden gemaakt. Ten eerste ontstaat dan volgens hem het gevaar dat beveiligingsdeskundigen hun exclusieve kennis over lekken commercieel gaan uitbaten door dure reparatieprogramma's op de markt te brengen. Ten tweede zegt Vranesevich beveiligingsdeskundigen net zomin als script kiddies te vertrouwen. Het verschil tussen 'beveiligingsdeskundige' en een 'kwaadaardige hacker' is soms erg onduidelijk, zegt Vranesevich, die erop wijst dat veel hacks worden uitgevoerd door werknemers van computerbeveiligingsbedrijven. Ook de cryptograaf Bruce Schneier, auteur van het boek Secrets & Lies (2001), is voor full disclosure. Dat is de enige manier om softwaremakers te dwingen betere producten te maken, zegt hij.

De voorstanders van full disclosure krijgen bijval uit onverwachte hoek. Het beveiligingsinstituut Cert, dat als zeer degelijk, zelfs enigszins belegen bekend staat, heeft besloten om alle details over lekken te publiceren. Software- en hardwarefabrikanten krijgen 45 dagen de tijd om met een oplossing te komen. Cert wil fabrikanten niet aan de schandpaal nagelen, zegt teamlid Shawn Hernan in een interview. Maar het is wel nodig om druk uit te oefenen op de makers van software en hardware om veilige producten te leveren, meent Hernan.

Software- en hardwarefabrikanten als Microsoft, Netscape, Intel en IBM zijn de grote afwezigen in de discussie over de verantwoordelijkheid voor computerbeveiliging. De bedrijven reageren over het algemeen pas nadat er een beveiligings- of privacylek in hun producten is aangetroffen en proberen dan vaak de ernst van de problemen te bagatelliseren. "Die kwetsbaarheid is volkomen theoretisch", was de officiële reactie van Microsoft op Back Orifice, een programma waar duizenden gebruikers en bedrijven grote hinder van hebben ondervonden.

Intel heeft het publiek regelrecht voorgelogen toen de chipfabrikant in maart 1999 zei dat het een veilig programma had uitgebracht waarmee consumenten de omstreden unieke persoonlijke identificatie van de nieuwe Pentium III processor konden uitschakelen. Het Canadese beveiligingsbedrijf Zero Knowledge Systems wist de beveiliging van de Intel-software te kraken met een minuscuul programma.

Afhankelijk

Beveiligingsproblemen maken niet alleen bedrijven kwetsbaar. De samenleving is zo afhankelijk van Internet geworden dat het heel eenvoudig is om via een cyberaanval een deel van het maatschappelijk leven plat te leggen. 42 Procent van de Nederlanders is in enige mate afhankelijk van Internet, zo blijkt uit een onderzoek van de Stichting Maatschappij en Ondernemen (SMO) onder Nederlandse bedrijven en werknemers. Een kwart van de beroepsbevolking is economisch afhankelijk van Internet. Cybercriminaliteit is voor een groot deel van de respondenten geen onbekend verschijnsel. Een derde heeft in 2000 te maken gehad met hacken, virussen of denial of service- attacks. 20 Procent is ooit geconfronteerd met ontvreemding of verminking van informatie.

Internet is zo'n complex netwerk, dat het op vele punten voor kwetsbaarheden zorgt, waarschuwen de samenstellers van het rapport 'Samen werken voor veilig Internetverkeer' (januari 2001). In dit rapport, geschreven door TNO-FEL en de Stratix Consulting Group in opdracht van het ministerie van Verkeer en Waterstaat, worden de risico's geanalyseerd waaraan de informatiesamenleving is blootgesteld.

"Internettend Nederland is grotendeels afhankelijk van de beschikbaarheid van de gezamenlijke backbone van alle grote netwerkproviders bij de Amsterdam Internet Exchange (AMS-IX). Deze is momenteel gevestigd op twee dichtbij elkaar gelegen locaties bij het Wetenschappelijk Centrum Watergraafsmeer. Qua fysieke en infrastructurele beveiliging is hier sprake van een single-point-of-failure. De beveiliging van terrein, locatie en kabelinfrastructuren is gebaseerd op een universitair rekencentrum, niet op de economisch kritische functie die deze peering-locatie heeft", staat in het rapport. Met andere woorden: één bom op Watergraafsmeer en heel Nederland ligt plat.

Het hoeft niet eens een bom te zijn, ook een technische storing kan grote gevolgen hebben voor de bedrijvigheid. Op eerste kerstdag in 1998 was Nederland grotendeels onbereikbaar via Internet vanwege een storing in een transformator op het terrein van het Wetenschappelijk Centrum Watergraafsmeer waar de Amsterdam Internet Exchange zich bevindt. De apparatuur van de Amsterdam Internet Exchange bleek niet op een noodstroomvoorziening te zijn aangesloten. Zeeland was in 1999 en in 2000 twee keer urenlang verstoken van datacommunicatievoorzieningen. Door kapot getrokken glasvezelkabels in de buurt van Bergen op Zoom was vaste telefonie, mobiel bellen en Internetten onmogelijk. Ook alarmlijnen waren onbereikbaar.

Noodvoorzieningen voor ziekenhuizen blijken niet altijd te werken. "Voor kritische ICT-diensten en -toepassingen van overheid, ziekenhuizen, calamiteitendiensten dienen er in principe noodvoorzieningen getroffen te zijn. In de praktijk blijken deze voorzieningen nogal eens uit te vallen, omdat één of meer kritische component(en) ondoordacht op het gewone elektriciteitsnetwerk aangesloten zijn. Gezien de dynamische wijzigingen in organisaties is regelmatige controle op de waarborging van de continuïteit van kritische ICT-diensten door een onafhankelijke 'ICT wacht' in dergelijke omgevingen dan ook sterk gewenst."

Onverlaat

Internet kent meer kwetsbaarheden: "Fysiek laat de bescherming van kabels en glasfibers nabij kritische netwerk- en ISP-knooppunten te wensen over. Veelal zijn de kabelgoten en de gegraven sleuven duidelijk zichtbaar en direct benaderbaar voor de onverlaat." Volgens de samenstellers van Samen werken voor veilig Internetverkeer is een kwetsbaar Internet maatschappelijk ongewenst. "Steeds meer kan en zal Internet centraal staan bij rampen en incidenten waarbij tijd een kritische factor vormt. Enerzijds kan Internet een belangrijke rol vervullen bij betere informatieverspreiding, nodig om rampen te voorkomen. Zo had een tijdige gegevensuitwisseling tussen huisartsen ten tijde van de ontdekking van de legionella-bacterie op de West-Friese Flora mensenlevens kunnen sparen. Aangezien rampenbestrijding steeds meer op deze wijze plaats zal vinden, wordt bescherming van het medium cruciaal."

Een snelle oplossing voor de kwetsbaarheidproblemen van de informatiemaatschappij is er niet. In Samen werken voor veilig Internetverkeer wordt een groot aantal mogelijke maatregelen geformuleerd om het Internet veiliger te maken. Er zouden samenwerkingsverbanden moeten komen om beveiligingsincidenten te registreren en op te lossen. Bedrijven en particulieren moeten worden voorgelicht over de risico's van virussen en lekken in software. De toegang tot Internet moet worden beveiligd, zodat plegers van computermisdaden gemakkelijker geïdentificeerd kunnen worden.

Of die maatregelen helpen is de vraag. In de Verenigde Staten, waar al sinds de Koude Oorlog rekening wordt gehouden met cyberaanvallen, zijn er een stuk of tien overheidsinstituten en publiek-private organisaties actief die zich bezighouden met de bescherming van de technologische infrastructuur. Veel succes hebben deze instellingen niet. Er wordt in de Verenigde Staten meer gehackt dan ooit en juist overheidsinstellingen als het Pentagon, de NASA en de belastingdienst zijn vaak het doelwit van hackers. Omdat deze instellingen net als het bedrijfsleven en particuliere Internetters gebruik maken van commerciële software vol lekken en er mensen werken die fouten maken, is het voor hackers niet moeilijk om overheidssystemen binnen te dringen.

De Amerikaanse belastingdienst (IRS) was vorig jaar zo lek als een mandje, maakte de General Accounting Office (de Rekenkamer) in maart bekend. Alle elektronische aangiftes waren vanaf Internet zichtbaar en aan te passen. De belastingdienst had verzuimd de gegevens te versleutelen en had bewust de netwerkbeveiliging uitgeschakeld om de aangiftes sneller te kunnen verwerken.

Een helemaal veilig Internet is niet te verwachten, volgens 'Samen werken voor veilig Internetverkeer'. "Noch de overheid, noch andere partijen kunnen een honderd procent veilig en betrouwbaar Internet garanderen. Niemand moet en kan dat dan ook suggereren."

(Verschenen in Internet in Business, april 2001)