'G20 moet over cybercrime beslissen'

Om industriële spionage te bestrijden moeten beursgenoteerde bedrijven computerinbraken melden, vindt Melissa Hathaway. „De topman zal zich dan aansprakelijk voelen.”

Zes miljoen inbraakpogingen per dag. Tegen zoveel hackersgeweld moet het Amerikaanse ministerie van Defensie zich weren. Maar het grootste risico van cybercriminaliteit zit ’m in de private sector, zegt veiligheidsexpert Melissa Hathaway: bedrijven doen te weinig om zichzelf en hun klanten te beschermen. De Amerikaanse was afgelopen week in Nederland voor een symposium van Govcert, de overheidsdienst die ‘veiligheidsincidenten’ helpt voorkomen.

Volgens een schatting in 2008 van de Europese veiligheidsorganisatie OSCE bedraagt de schade van cybercriminaliteit wereldwijd 100 miljard dollar (circa 75 miljard euro) per jaar. Met name banken en verzekeraars zijn doelwit. Maar de aard van de bedreigingen verandert, blijkt uit een trendrapport van de Nederlandse inlichtingendiensten. Digitale spionage wordt gebruikt voor gevoelige informatie op economisch, politiek en militair terrein. Eén voorbeeld zit nog vers in het geheugen: de Stuxnet-worm (zie inzet), een geavanceerd virus dat industriële processen saboteert. „En er komt een nieuwe golf Stuxnet-varianten aan”, waarschuwt Hathaway.

Wat zijn volgens u de belangrijkste bedreigingen via internet?

„Aanvallen via het web bestaan al twintig jaar, maar ik verwacht grote problemen met draadloze netwerken en bluetooth. Er zijn nog geen technieken om die af te schermen. Een ander zwak punt is dat bedrijven zich wel beveiligen tegen externe aanvallen, maar niet controleren welke informatie naar buiten lekt. De insider, die met een usb-stick naar buiten wandelt. Of ik geef jou een besmette usb-stick zodat je stiekem data verstuurt.”

En Stuxnet?

„Stuxnet gaat een stap verder dan informatie stelen en verandert de werking van apparaten. Er zijn nieuwe varianten in aantocht, maar ik denk niet dat die daadwerkelijk energiecentrales en raffinaderijen plat zullen leggen. Het zal eerder als chantagemiddel gebruikt worden. Ik maak me dan ook meer zorgen over economische en industriële spionage.”

Welke sectoren zijn kwetsbaar?

„Het Amerikaanse ministerie van Defensie telt zes miljoen inbraakpogingen per dag. Bij duizend daarvan moet actie worden ondernomen en een klein aantal is succesvol. Financiële instellingen worden net zo intensief aangevallen. Maar banken houden elkaar goed op de hoogte over nieuwe risico’s. Dat zouden andere bedrijven ook moeten doen. Toen internetbedrijf Google begin dit jaar bekendmaakte dat er was ingebroken op hun servers, bleken nog tweeduizend andere bedrijven het slachtoffer van dezelfde hackers. Die lijst werd niet openbaar gemaakt.”

Bedrijven schamen zich?

„Een datalek heeft effect op de marktwaarde, de aandelenkoers, het consumentenvertrouwen. Maar ik ben voor een meldplicht voor computerinbraken. Als je beursgenoteerde bedrijven verplicht stelt om cybercrime op te nemen in hun rapportages aan de SEC (de Amerikaanse beursautoriteit, red.), wordt de topman van het bedrijf ook daadwerkelijk aansprakelijk. Dat zou een omslagpunt kunnen zijn. Nu weten criminelen meer van kwetsbaarheden dan de bedrijfstop.”

Ook in Europa wordt voor een meldplicht gepleit. Hebben extra bevoegdheden voor politie en justitie niet meer effect?

„Providers, antivirusbedrijven en opsporingsinstanties zullen hun informatie beter moeten delen. En de regels kunnen strenger. India heeft wetten tegen cybercrime aangenomen, onder meer tegen het maken en verspreiden van kwaadaardige software. Ook China werkt aan zulke regels. Terwijl het in de VS nog niet verboden is. Dat betreur ik.”

Is een softwarefabrikant verantwoordelijk voor fouten? Neem al die lekken in Windows.

„Elk besturingssysteem is kwetsbaar. Maar Windows ligt continu onder vuur. Microsoft is sneller met het repareren van lekken dan veel andere leveranciers. In de bankwereld nemen databaseleveranciers zes maanden de tijd om een lek te repareren. Soms duurt het een jaar om het probleem op te lossen. Ze moeten verantwoordelijk gesteld worden om een beter product te leveren.”

Dus te trage softwarebedrijven kun je aanklagen?

„Zonder een internationale standaard lukt dat niet. Er is nog geen akkoord waarin staat dat internet en e-commerce een infrastructuur vormen waar elk land verantwoordelijk voor is. Onze culturen verschillen. Sommige landen proberen vrijheid van meningsuiting te beperken en op andere plekken wordt die juist gestimuleerd. Als Europa een akkoord sluit, zullen landen als Rusland en China weigeren, omdat die afspraken geen ruimte bieden voor afluisteren en bespioneren.”

Tijd voor een nieuwe internettop?

„Mijn idee: haal het uit de hoek van nationale en militaire veiligheid. Breng cybercrime onder bij de G20, want het is een economisch probleem. Iedereen heeft er baat bij als dat wordt opgelost.”