Overbodig bezit

GEVOEL VOOR timing kun je de Belgische hacker ReDaTtAcK (Red Attack) niet ontzeggen. Hij koos publicitair gezien het perfecte moment om zich een elektronische weg te knagen naar de betalingsgegevens van Belgische bankklanten: precies op de valreep van de zomer, als iedereen weer wakker wordt, maar er nog niet echt veel nieuws is. Gevoel voor dramatiek heeft hij ook. Persoonlijke gegevens van u en mij liggen bij honderden instanties opgeslagen zonder dat we daar warm of koud van worden, maar kom aan ons geld of zelfs maar in de buurt en alle stoppen slaan door. Dus pakte de hacker een bank.

Voor wie net thuiskomt: ruim een week geleden maakte onze Belg bekend via het Internet zowel wachtwoorden als loginnamen en rekeningnummers van telebankierende klanten van een Belgische bank te hebben buitgemaakt. Het was blijkbaar waar, want de bank in kwestie sputterde slechts dat de man geen overboekingen had kunnen doen. Dat is dan een hele opluchting, voor wat het woord van een bank waard is die zijn spullen niet goed onder controle blijkt te hebben. Maar verder valt er niets te lachen, zeker niet als Red Attack ook nog kan vertellen welke loginnaam bij welk wachtwoord en welk rekeningnummer hoort, want dan had hij waarschijnlijk wél met rekeningen kunnen manipuleren. Het blijft onvergeeflijk dat iemand alle drie de gegevenslijsten kan vinden, maar los van elkaar kunnen ze niet meteen heel veel kwaad. Als een inbreker de drie gegevens door `trial and error' moet zien te combineren, krijgt de bank immers tijd en gelegenheid om in te grijpen. Maar krijg je de combinaties ongecodeerd in handen, dan ben je, in Red Attacks geval, koning der Franken. Andermans Franken, wel te verstaan.

`Is this security?' is de schampere boodschap die Red Attack op door hem gekraakte websites achterlaat. Daarmee legt hij de vinger precies naast de wonde, want het onvermijdelijke antwoord luidt: `Ja.' Beveiliging is altijd lek en zal dat, hoezeer men ook waarschuwt en zich inspant, altijd blijven. Dat komt doordat beveiliging niet sexy is en bovendien het karakter heeft van een wapenwedloop.

Om met dat laatste te beginnen: hoezeer je ook je best doet om met technische middelen zaken van misbruik af te schermen, als de zaak interessant genoeg is, komt er altijd wel iemand die een op list of geweld berustende truc verzint. Geen gevangenis zo streng of vroeg of laat ontsnapt er iemand uit, geen paspoort zo ingewikkeld of het wordt ooit nagemaakt, geen hek zo hoog en sterk of het lukt iemand om er een gat in te knippen of overheen te springen. Dat geldt voor elektronische hekken even goed als voor fysieke schuttingen. Het is in laatste instantie een simpele kwestie van kosten en baten, waarbij voor de dief of vervalser in spe de lol van de uitdaging flink meeweegt aan de batenkant.

Hoe anders is dat voor de arme bezitter. Het toppunt van lol dat hij aan beveiliging kan beleven is dat er helemaal niets gebeurt — in de wurgende wetenschap dat het ooit toch misgaat. Daar staan heel wat kosten tegenover: ten eerste geld. Geld dat ogenschijnlijk zonder concrete aanleiding moet worden uitgegeven aan iets waarvan je nooit zeker weet of het, als het puntje bij het paaltje komt, afdoende zal zijn. Beveiliging kost ook onwrikbare discipline, iets waar mensen principieel slecht in zijn, zeker als er geen directe beloning tegenover staat. En als resultaat belemmeren beveiligingen — goede én slechte — in elk geval steevast allereerst de reguliere omgang met het beveiligde. Vergeten wachtwoorden, niet werkende toegangspassen, spoorloze e-mail en verloren paspoorten zijn maar een paar van de vele vormen van niet aflatende ellende die beveiliging met zich meebrengt.

Het is duidelijk: voor onverlaten en rechtmatige beheerders slaat de balans van kosten en baten naar tegengestelde kanten door. De dief heeft alles te winnen, de beheerder kan slechts verliezen en begint daar al meteen mee. Natuurlijk willen hackers en de complete IT-industrie er niet van horen, zij verdienen er immers een vaak dik belegde boterham aan, maar de oplossing van veel echte en gevreesde computercriminaliteit zit niet in het al maar opvoeren van beveiligingen. Ook niet, trouwens, in het inschakelen van de politie als extra beveiliging, bijvoorbeeld door systemen aftapbaar te maken en justitie toegang tot allerlei vaak vertrouwelijke gegevens te verstrekken. Ten eerste verandert daardoor niets wezenlijks, het is gewoon een volgende stap in de wapenwedloop, waar bovendien elke eerzame burger last van heeft en risico's door loopt. Ten tweede valt er van Hermandad niets te verwachten. Van de week nog klaagde een Interpol-functionaris in Netwerk dat het zo gemakkelijk was om in websites in te breken dat alleen al in de VS 17 miljoen mensen ertoe in staat moesten worden geacht, en jammerde hij tegelijkertijd dat de politie zo'n kennisachterstand had. Je zou toch zeggen: doe als die 17 miljoen, koop eens een boekje, ga eens wat doen, joh! Maar dat zit er kennelijk gewoon niet in.

Hoe kun je nu wel zorgen dat de verhoudingen gunstiger komen te liggen? Dat er voor boeven minder te halen valt, en dat beheerders minder zorgen hebben? Precies door dat letterlijk te doen! Door te zorgen dat er minder gegevens worden opgeslagen. Wat er niet is, kan ook niet gestolen of misbruikt worden.

Dat bereiken we alleen door het bezit van grote collecties gegevens onaantrekkelijk te maken. Ook dat is een kwestie van kosten en baten: worden gegevenscollecties een ongemakkelijk bezit, dan zult u verbaasd staan over hoeveel daarvan ineens overbodig zal blijken en hoeveel meer zorg er aan de juistheid van de rest besteed wordt. Dat zijn twee vliegen in één klap, want het roept tevens eindelijk een halt toe aan de ongebreidelde registratiegeilheid die de computer heeft opgeroepen bij zowel overheid als bedrijfsleven.

Draconische privacywetgeving is het enige middel. Wetgeving die de aansprakelijkheid voor diefstal en misbruik van een gros opgeslagen gegevens compleet en uitsluitend bij de beheerder legt. Natuurlijk kleven ook hier problemen aan, maar het zijn tenminste praktische, oplosbare problemen. Met alleen maar meer beveiliging gaat het principieel mis.