"Boekhouder is gevaarlijker dan hacker'

Ronald O., de eerste Nederlander die op grond van de wet computercriminaliteit wordt vervolgd, is sinds gisteren weer op vrije voeten. De jurist prof. Franken ziet "hacken' als een randver- schijnsel. Het echte probleem is de achteloosheid waarmee bedrijven en instellingen met computers omgaan.

ROTTERDAM, 28 APRIL. De jurist prof. H. Franken werd in 1986 gevraagd de commissie computercriminaliteit voor te zitten. In anderhalf jaar produceerde die het wetsvoorstel dat twee maanden geleden van kracht werd. "Hacken', volgens Franken een moderne vorm van huisvredebreuk, is een van de zaken die de nieuwe wet strafbaar stelde. “Maar ik vind het volstrekt overdreven dat alleen dat de aandacht trekt en niet die boekhouders die hun baas zeer sophisticated kunnen tillen. En dat gebeurt. Hacken is maar een randverschijnsel.”

Drs. J. Schuurman is manager van het campusnetwerk van de Vrije Universiteit. Op een van de facultaire systemen werd de "hacker' Ronald O. op 18 maart betrapt tijdens de inbraak in een Delftse computer. Volgens Schuurman vormen zijn eigen gebruikers echter een veel grotere bedreiging. “De buitenmuren zijn stukken sterker dan de binnenmuren. Als iemand met kwade bedoelingen eenmaal binnen is, geef ik geen stuiver meer voor de veiligheid.”

De meeste systemen zijn beveiligd door alle gebruikers een naam en een reeks mogelijkheden en toegangen te verlenen. Iemand komt alleen binnen als hij het bij de naam horende wachtwoord weet. Als het wachtwoord makkelijk te raden is (nummerborden, voornamen) of uitgeleend is aan iemand anders, is alle voorzorg om de computer te beschermen voor niets.

“Er wordt zo vaak aan de deur gemorreld, dat ik daar niet eens meer op let”, aldus Schuurman. “Soms probeert iemand een paar wachtwoorden uit bij een naam waarvan ze weten dat die hier werkt. Ze beseffen niet dat zoiets sinds 1 maart strafbaar is.” In 999 van de duizend gevallen is dit het hele "hacken'. Van de schaarse geslaagde pogingen is volgens Schuurmans in negentien van de twintig gevallen gebruikgemaakt van gegevens uit de "accountfile': het bestand op de computer met namen en wachtwoorden van gebruikers. De wachtwoorden zijn door encryptie onleesbaar gemaakt, maar voor goede "ontsleutel'-programmatuur is dat geen probleem. Zolang de accountfile op een plaats staat waar iedereen mag komen - en dat is vaak het geval - is het systeem per definitie onveilig. Alsof de sleutel onder de voordeurmat ligt.

Schuurman: “Hackers die echt iets willen, gaan anders te werk. We hebben het dan over één op de tienduizend.” Rop Gonggrijp van het vakblad Hacktic denkt dat er in Nederland vijf hackers van dat niveau zijn. De Delftse hoogleraar dr. I.S. Herschberg gaat uit van 4.000 hackers, rijp en groen en een handjevol profs. Schuurman noemt het "de slimme jongens', goed op de hoogte van de software en bekend met fouten in de programmatuur die ze kunnen gebruiken om zo snel mogelijk de hoogste bevoegdheden te krijgen. Anders dan bij het ouderwetse inbrekersgilde heeft ook de politie geen idee van het aantal hackers. “Misschien zijn het er 10, misschien 1.000 of 75”,zegt hoofdinspecteur W.C. Mantel, hoofd van het Haagse politieteam computercriminaliteit.

Schuurman van de VU vraagt zich af waar het hackers om gaat: “Misschien is het een bijzondere drang naar sport.” Indringers zijn vrijwel nooit uit op het vernielen, laat staan het stelen van informatie. CERT-NL, de veiligheidsmensen van het universitaire netwerk Surfnet, telden sinds midden vorig jaar drie hackzaken met schade.

Met de schade valt het enorm mee, beaamt Schuurman. “Van de dus één op de twintigduizend hackers die meer willen, heeft driekwart helemaal niet de intentie schade te berokkenen. Soms is het echter een noodzakelijk bijeffect van hun acties, zoals de junk die om een autoradio te stelen het raam kapot slaat.”

Politieman Mantel betwijfelt echter of de hackers terecht een Robin Hood-achtig imago hebben. Hij denkt niet dat het ze altijd om het pure hacken gaat of dat ze systeembeheerders helpen in het vinden van fouten in het systeem. Mantel: “Zo'n hacker kruipt rond en kijkt of hij via mijn huis bij de buren kan komen. Dan maakt hij mij wakker en zegt een goed adresje te kennen waar ik mijn bovenlicht kan laten beveiligen.” Verontwaardigd: “Ga nou gauw weg, dat maak ik zelf wel uit. Wie zegt dat hij me alles vertelt, hij kan de deur wel op een kier gezet hebben. Bovendien maakt gelegenheid de dief.”

Mantel noemt de "toeristen' - die niet alleen informatie verzamelen, maar die ook verspreiden - een verhaal apart. “Wat Hacktic doet is riskant. Het valt onder de vrijheid van meningsuiting, maar er zijn lieden die de kennis kunnen misbruiken.” In Nederland zijn geen gevallen bekend van criminelen die hackers inschakelen. Het is voor een boef eenvoudiger iemand van binnen te gebruiken. Volgens professor Franken gaat het vooral om een verhoging van het veiligheidsbewustzijn bij bedrijven en instellingen. “Daarbij spreken die hackers natuurlijk erg aan. Terwijl het vanuit een oogpunt van criminaliteitsbeheersing en rechtspolitiek een van de minder schadelijke delicten is. Ik vind het veel erger dat datacommunicatie wordt afgetapt of als Beanet, het betalingssysteem van de banken, wordt beschadigd en ik ten onrechte een miljoen op mijn rekening krijg.”

Er zijn weinig feiten bekend over computercriminaliteit bij bedrijven. Pogingen om er inzicht in te krijgen door het stimuleren van de bereidheid aangifte te doen, zijn tot nu toe mislukt. De Groningse hoogleraar "betrouwbaarheid van informatiesystemen' en accountant A.W. Neisingh RA zegt dat verreweg het meeste misbruik wordt gepleegd door eigen personeel. Van geslaagde pogingen door buitenstaanders waarbij bedrijfsgegevens zijn ontvreemd of veranderd, kent hij in Nederland geen voorbeelden. Het is ook volgens hem vooral een potentieel gevaar. In veel bedrijven zijn computers onmisbaar geworden, en dat schijnt de organisatie zich vaak nog niet te realiseren, aldus Neisingh.

Over de vraag of hij uit zijn jarenlange praktijk gevallen kent van diefstal van informatie, moet Mantel lang nadenken. “Het is wel eens gebeurd. Vorig jaar kwam uit een onderzoek naar voren dat een hacker zowel bestanden had vernield als vertrouwelijke bedrijfsgegevens met een zekere marktwaarde naar zich toe had gehaald.” Het onderzoek loopt nog en de hoofdinspecteur wil daarom niet meer zeggen.

Om meer zicht te krijgen op computercriminaliteit wil Franken een centraal meldpunt bij de verzekeringsmaatschappijen. In Frankrijk bestaat dat al. Daar geven de verzekeraars regelmatig een overzicht van de uitkeringen die ze doen in zaken waar computers bij betrokken zijn. Het is volgens Franken een manier om het veiligheidsbewustzijn te vergroten. “Als een verzekeraar alleen uitkeert als het bedrijf aan preventie doet en de zaak aangeeft bij de politie, komt er meer duidelijkheid.”

Franken: “Een heel belangrijke preventieve maatregel is ook de nieuwe bepaling in het Burgerlijk Wetboek dat de accountant verslag moet uitbrengen over de betrouwbaarheid en continuteit van het gegevensverwerkende systeem. Je hebt niks aan een jaarrekening met allemaal mooie gegevens als van de ene dag op de andere zich een calamiteit kan voordoen waartegen men zich niet heeft verzekerd. Als een bedrijfshal afbrandt keert de verzekering uit, maar als de VNU zijn abonnee-administratie verliest, zijn aandeelhouders en crediteuren hun geld kwijt. Bedrijven moeten hun gegevensverwerkende systemen laten doorlichten, zoals je een schip op zijn waterdichtheid test en een openbaar gebouw op zijn brandveiligheid.” In 1988 heeft De Nederlandsche Bank voor de banken al een dergelijk voorschrift uitgevaardigd.

Hoogleraar computer-accountancy Neisingh ziet vooral bij grote bedrijven een toenemende aandacht voor computerveiligheid, “maar vaak zonder beleidsmatige ondersteuning, waardoor niet elke onderdeel even grondig beveiligd is en je afhankelijk blijft van de zwakste schakel.” Veel ondernemingen en instellingen wachten liever met maatregelen tot zich problemen voordoen.