Flinke cyberramp op zijn tijd kan geen kwaad

Computercriminelen doen hun werk het liefst in stilte. Om serieuze aandacht voor ICT-beveiliging te krijgen is het daarom goed dat af en toe flink fout gaat, zeggen cybercrimebestrijders.

Het was een nachtmerriescenario, toen het Duitse telecombedrijf T-Mobile vorig jaar moest opbiechten dat het 17 miljoen klantgegevens was kwijtgeraakt, inclusief geheime mobiele nummers van politici, ministers en tv-sterren.

Toch kan een stevige cyberramp op zijn tijd geen kwaad, vindt Johan Bakker, hoofd IT-veiligheid van telecombedrijf KPN. Het afschrikkende voorbeeld van de Duitse concurrent deed de raad van bestuur van KPN bijvoorbeeld beseffen dat er werk gemaakt moest worden van de eigen ICT-veiligheid. „Die cultuurverandering aan de top is de grootste uitdaging”, zegt Bakker. Nu werkt KPN met 75 mensen aan een driejarig beveiligingsprogramma.

Telecombedrijven zijn een stuk kwetsbaarder geworden nu ze grotendeels overgeschakeld zijn op internettechnologie. Daardoor zijn ze een aantrekkelijk doelwit van criminelen die geld willen verdienen met illegaal telefoonverkeer, of computers willen misbruiken voor het verzenden van spam.

Cybercriminaliteit is een wezenlijke bedreiging voor elk bedrijf en elke particulier, bleek vorige week tijdens het symposium van Govcert, de waarschuwingsdienst van de Nederlandse overheid. Ook de overheid zelf moet serieuzer omgaan met ICT-veiligheid, vindt Staatssecretaris Ank Bijleveld (Binnenlandse Zaken, CDA). Zij bepleit een meldplicht voor ict-incidenten bij het rijk. „Mensen moeten ons hun informatie kunnen toevertrouwen.”

Zolang er pc-bezitters en netwerkbeheerders zijn die vergeten hun systemen te updaten, blijft cybercriminaliteit lonend. De drempel voor hackers en hobbyisten om zelf te speuren naar onbeveiligde computers is laag; ingrediënten zijn met een Google zo te vinden.

De kwetsbaarheid zit ’m in de monocultuur, zeggen de experts: veel computers gebruiken het zelfde besturingssysteem. Hoewel Microsoft Windows een stuk veiliger is geworden, blijft het door zijn massale aanwezigheid een aantrekkelijk doelwit. Symposiumspreker Mikko Hyppönen, onderzoeker bij het Finse beveiligingsbedrijf F-Secure: „Hackers hebben jarenlang de tijd om te speuren naar fouten in de software. Als ze één gaatje vinden, kan het meteen massaal misbruikt worden.”

Het speelveld van cybercriminelen is uitgebreid naar de internetbrowser en naar plugins zoals de Flash-speler, die op 99 procent van de computers te vinden is. Kwaadwillende software rouleert in sociale netwerken en staat verstopt op servers van normale websites.

Veiligheidsexpert Bruce Schneier, nu werkzaam voor het Britse telecombedrijf BT, vindt dat softwareontwikkelaars verantwoordelijk gesteld moeten worden voor de fouten in hun producten. „Het zou mogelijk moeten zijn een bedrijf aan te klagen als er een lek in de software zit. Als ik een auto koop waarvan de rem het niet doet, breng ik ’m toch ook terug? Softwarebedrijven ontbreekt het nu aan een financiële impuls om producten te verbeteren.”  Schneier trekt de vergelijking met creditcardmaatschappijen. Die zijn zelf verantwoordelijk voor de risico’s van misbruikte creditcards en gestolen persoonsgegevens. „Toch maken ze allemaal winst.”

Van campagnes voor veilig internetten zoals die van het ministerie van Justitie heeft Bruce Schneier geen grote verwachtingen : „Sommige mensen zullen nooit snappen hoe ze hun computer moeten beveiligen.”

Tegen sommige aanvallen is geen verdediging mogelijk. Targeted attacks vormen het onderzoeksterrein van Steven Aldair van de Amerikaanse veiligheidsorganisatie Shadowserver. „Het gaat om kleine aanvallen die maandenlange voorbereiding vergen. Denk aan een mail met een pdf-attachment, die zelfs door kenners niet van echt te onderscheiden is. Daarin zit de allernieuwste exploit – een lek dat nog niet ontdekt is door de goegemeente onder de hackers en waar dus ook nog geen antivirusprogramma tegen helpt.” Het beroemdste voorbeeld is Ghostnet, een spionagenetwerk dat vanuit China bijna 1.300 computers in ruim honderd landen besmette met kwaadwillende software, voornamelijk bij overheden.

De cybercrimebestrijders streven naar een gezamenlijk strategie voor de publieke en private sector. Andy Purdy, voormalig hoofd cybercrime van de Amerikaanse Homeland Security Department: „Je kunt cybercriminaliteit niet alleen aan politie en justitie overlaten. Als we niet samenwerken ze we gedoemd te mislukken. ”

In Nederland is de samenwerking al gevorderd in de vorm van het Informatieknooppunt Cybercrime, waar opsporingsinstanties, waarschuwingsdiensten en het bedrijfsleven elkaar bijpraten over ICT-veiligheid. Het gaat nog om een tijdelijk programma, maar het Informatieknooppunt bevalt zo goed dat het begin 2010 een nieuwe definitieve vorm zal krijgen.