Pc-werkers zijn schuldig aan schade virus

Wie is verantwoordelijk voor de schade die bedrijven vorige week hebben geleden als gevolg van het I love you-virus? In eerste instantie natuurlijk degene die het virus heeft gemaakt en losgelaten. Maar met wijzen naar de Filippijnen schieten we niet veel op, zeker niet voor de toekomst. Computervirussen bestaan nu al meer dan vijftien jaar. Er komen maandelijks honderden nieuwe bij en ze komen van steeds weer andere makers. Het bestaan van virussen is een gegeven waarmee we moeten leren omgaan.

De afdelingen automatisering valt weinig te verwijten. De technische kant van de virusbestrijding is goed op orde. Overal functioneren virusscanners op de bedrijfsnetwerken; deze worden regelmatig bijgewerkt met gegevens over de nieuwste virussen. `Gevaarlijke' handelingen, zoals het starten van programma's van meegebrachte diskettes (die thuis of op school besmet kunnen zijn), zijn veelal onmogelijk gemaakt. Donderdag is er op de noodsituatie op veel plaatsen goed gereageerd, bijvoorbeeld door uit voorzorg het emailverkeer stil te leggen, en door de virusscanners aan te passen zodra dit mogelijk was.

Ook de makers van antivirus-software kunnen er weinig aan doen. Antivirus-software reageert op kenmerken van bekende virussen, dus een splinternieuw virus heeft onvermijdelijk een goede kans erdoor te komen. Aangepaste software was verkrijgbaar luttele uren na het losbreken van het virus. De techneuten doen dus al het mogelijke.

Er is met de beschuldigende vinger gewezen naar Microsoft, dat in zijn software teveel gereedschappen heeft ingebouwd die misbruikt kunnen worden. Dit is niet de kern van het probleem. Er bestaan ook virussen voor de Macintosh; het feit dat dit er zoveel minder zijn is vooral een gevolg van de geringere populariteit van de Mac. Virusmakers vinden het minder leuk `voor de Mac' te schrijven, omdat dit minder publicitair effect heeft. Als de software van Microsoft veiliger was, zouden er ook virussen zijn – het zou alleen maar een grotere uitdaging zijn ze te maken.

Meer technische maatregelen, zoals het uitschakelen van de `scripting' op pc's, werken tegen een bepaald virus, en dus niet voor het volgende. Ronduit pathetisch zijn de waarschuwingen in de media dat het virus onder een andere naam is opgedoken. In een uur tijd kan ik een paar honderd kopieën van het virus de wereld in mailen die elk een andere, nieuwe naam dragen. Zulke waarschuwingen geven mensen die het virus toch activeren alleen maar een excuus: voor die naam was nog niet gewaarschuwd!

Een structureel zwakke plek in de beveiliging tegen computervirussen is de pc-gebruiker. Ongeveer eens in de twee maanden verschijnt een virus dat zich zo spectaculair vermenigvuldigt, of zo kwaadaardig is, dat het de media haalt: Melissa, Happy99, ExploreZip en PrettyPark zijn voorbeelden. De laatste tijd gaat het meestal om virussen die zich verspreiden als aanhangsel bij een e-mail. Dat is op het ogenblik de meest efficiënte verspreidingswijze, en dus de meest interessante voor virusmakers. Hoe dit in zijn werk gaat wordt elke keer weer uitgelegd in de media, en hoe je besmetting kunt voorkomen ook.

Ten overvloede: open aanhangsels alleen nadat de virusscanner een controle heeft uitgevoerd. Omdat een aanhangsel ook een splinternieuw virus kan bevatten: open aanhangsels bij ongebruikelijke mail helemáál niet. Check eventueel eerst bij de afzender. Het onderwerp van het I love you-virus en het feit dat de tekst van de mail in het Engels is gesteld, terwijl het leek te komen van een Nederlandse bekende, hadden elke Nederlandse kantoorwerker die wel eens een krant leest, genoeg moeten zeggen.

Jammer genoeg kiezen de meeste beeldschermwerkers ervoor zo weinig mogelijk te weten van hun voornaamste gereedschap. Deze houding is niet langer toelaatbaar. Een timmerman die het vertikt belangstelling op te brengen voor de werking van een boormachine, deugt niet voor zijn vak.

Bedrijven moeten werknemers de gelegenheid geven een minimum aan kennis op te doen. Cursussen aanbieden is daarvoor een mogelijkheid, maar misschien niet eens de beste. Er wordt in bedrijven de laatste tijd nogal neurotisch gedaan over `misbruik' van internet op de zaak, voor privé- of recreatieve doeleinden. Waarschijnlijk leren mensen veel meer van het doen van dingen die ze leuk vinden dan van het volgen van een schoolse cursus, en het is goedkoper ook. Het is dus zaak dit zoveel mogelijk toe te staan, zolang deze activiteiten legaal zijn en niet zelf de computerveiligheid in gevaar brengen.

Daarnaast moeten de eerste beginselen van de virusbescherming de medewerkers worden ingeprent. Deze zijn, zoals blijkt, voor een normale bedrijfsvoering net zo essentieel als de regels met betrekking tot brandveiligheid. Als het bedrijf de werknemer in de gelegenheid heeft gesteld kennis te nemen van deze regels, lijkt het redelijk dat op het overtreden ervan een sanctie komt te staan. Wat zou een bedrijf doen met een medewerker die een brandende sigaret gooit in een prullenbak vol papier?

Herbert Blankesteijn is publicist.