Belgische bedrijven beveiligen zich onvoldoende tegen diefstal en vernieling van computerdata. De schade en hoe ze te voorkomen.
Een computercrash die leidt tot het faillissement van een onderneming? Pc’s die worden “afgeluisterd” door schalkse wizzkids en bedrijfsspionnen? Geloof maar dat het gebeurt. Een dikke sleutel op een zwaar slot, vroeger volstond het om een bedrijf te beschermen. Vandaag is beveiliging echter een kwestie van virusscanners, databeheer en back-ups. Termen die blijkbaar nog niet helemaal ingeburgerd zijn in ons bedrijfsleven, want de elektronische beveiliging in de Belgische ondernemingen laat te wensen over. Tot dat besluit komt Belcliv, de Belgische Club voor Informaticaveiligheid, een vzw opgericht onder initiatief van het Verbond van Belgische Ondernemingen, die een enquête uitvoerde bij 680 grote en kleine ondernemingen.
De studie levert enkele opmerkelijke resultaten op: meer dan de helft van de ondernemingen beschikt zelfs niet over een persoon die tien procent van zijn tijd aan de informaticaveiligheid besteedt; 62 procent heeft geen specifieke procedure ontwikkeld voor het opzetten, onderhouden en beveiligen van de informatie; 63 procent heeft geen geschreven regels omtrent de bescherming van gevoelige informatie.
“De maatregelen die worden genomen, spitsen zich vooral toe op de klassieke veiligheid”, vertelt Luc Golvers, voorzitter van Belcliv. “Automatische brandblusapparatuur, inbraakdetectie, gestabiliseerde en beveiligde stroomtoevoer, visuele afscherming naar buiten toe, toegangscontrole, eventueel gepantserde ramen, dat soort dingen. Aan de logische beveiliging, die betrekking heeft op de software en de toegang tot bepaalde gegevens en toepassingen, wordt echter veel te weinig gedacht. Ondernemingen investeren grote bedragen in informatica, maar geven heel weinig geld uit aan de beveiliging van die informatica. In het totale informaticabudget vertegenwoordigt de beveiliging slechts vijf tot tien procent.”
GEBREK AAN KWALITEITSCONTROLE
De computer die het bedrijf gijzelt: het lijkt wel een script van een derderangsthriller. De kans dat een falend computernetwerk een onderneming op de knieën krijgt, is echter voor de hand liggender dan pakweg het zinken van de Titanic. Al blijven de verliezen doorgaans vrij beperkt, dat wil zeggen tot minder dan een miljoen frank, toch zijn er enkele bedrijven in de studie van Belcliv (ze blijven liever anoniem) die toegeven dat ze meer dan twintig miljoen frank hebben verloren als gevolg van een schadegeval. Bovendien zijn de onrechtstreekse verliezen in de regel groter dan de rechtstreekse. Dus is er reden tot ongerustheid. Zeker wanneer blijkt dat ondernemingen zich wel verzekeren tegen materiële schade, maar niet tegen indirecte schade, zoals extra kosten voor de wedersamenstelling van de gegevens. De situatie kan zo ver leiden dat het management de boeken moet neerleggen. In Amerika is zelfs een geval bekend van een bedrijf dat na een brand door zijn aandeelhouders voor de rechtbank werd gesleept wegens het gebrek aan maatregelen ter bescherming van de computergegevens.
Hoe groot is de schade wanneer de informatica het gedurende een uur laat afweten, of een dag, of een week? De uitkomst van die rekensom bepaalt normaal de omvang van de te nemen veiligheidsmaatregelen. Kopiëren is alvast van levensbelang. Alle informaticadragers moeten systematisch in verschillende exemplaren worden gekopieerd en bewaard in andere gebouwen dan die waarin de computersystemen zich bevinden. En hoe vaker men veiligheidskopieën maakt, hoe beter. Zodat bij brand of waterschade de immateriële schade tot een minimum beperkt wordt.
Toch blijkt dat slechts de helft van de Belgische ondernemingen zich de moeite getroost om op regelmatige basis te kopiëren. Iets meer dan achttien procent bewaart zijn back-ups in een ander lokaal maar in het hetzelfde gebouw, elf procent zelfs gewoon in de computerkamer. Vijf procent erkent dat het nooit back-ups neemt van de bestanden op de pc’s.
Er kan volgens Belcliv niet luid genoeg aan de noodbel worden getrokken. Want bedrijven zijn zich duidelijk nog niet bewust van de gevaren. Zo vindt een vijfde van de ondernemingen uit de studie de vraag over informaticaverzekeringen gewoon niet relevant. Ook wordt er slechts hoogst zelden een jurist met een specialisatie in informatica ingeroepen bij het sluiten van contracten. De juiste formulering van zulke informaticacontracten is nochtans uiterst belangrijk, zeker in het licht van de vele geschillen tussen softwareleverancier en aankoper over de geleverde pakketten. Ofwel voldoen die pakketten niet aan de vooropgestelde doeleinden, ofwel ontbreken bepaalde functionaliteiten, ofwel zit de software vol bugs, programmafouten. Feit blijft dat elke vertraging geld kost aan het bedrijf. En geen duidelijk contract betekent geen terugvordering van dat geld.
Nog een belangrijk pijnpunt: meer dan de helft van de bedrijven die aan ontwikkeling doen, voeren een kwaliteitscontrole uit van de interne analyses en ontwerpen, maar deze controle verslapt duidelijk wanneer het gaat om de aankoop van softwarepakketten. De kwaliteitscontrole van de programmatie – een herlezing van de programmacode – is veeleer uitzondering dan regel. Nochtans blijkt uit de studie van Belcliv dat ruim een kwart van de ondernemingen schade lijdt als gevolg van fouten in het ontwerp of de realisatie van software.
BEWUSTWORDINGSPROCES
Opnieuw een kwart van de ondernemingen hangt af van een interne of externe sleutelpersoon wiens vertrek het informatiesysteem in het gedrang kan brengen. Dat stemt tot nadenken. Driekwart beschermt de toegang tot de toepassingen en gevoelige gegevens, veelal door middel van identificatie en authenticiteitscontrole (paswoord, chipkaart). Maar als meer dan de helft nalaat om heldere regels te formuleren in verband met de bescherming van vertrouwelijke informatie, hoe wil men dan fraude en sabotage bestrijden?
De slager om de hoek moet vooral goed vlees hebben. Zijn boekhouding doet hij desnoods in een Atoma-schriftje. Kortom, niet iedereen heeft nood aan een systeem van informaticabeveiliging. Wanneer de onderneming facturen uitschrijft en diensten levert, wordt zo’n systeem echter noodzaak. Het bedrijf moet, om te beginnen, uitrekenen wat de verliezen kunnen zijn bij een defect van het computersysteem of het uitlekken van vertrouwelijke informatie. Niet evident wanneer men geen specialist terzake is.
Maar toch doe je voor deze opdracht best geen beroep op een externe kracht, waarschuwt Luc Golvers. “Omdat het allemaal draait om de vraag wat er precies misloopt als een informaticasysteem uitvalt. Die vraag kan enkel worden beantwoord door iemand binnen het bedrijf, iemand met grondige kennis van de gang van zaken.”
Na een evaluatie van de risico’s verbonden aan het gebruik van informatiesystemen, moet er een verantwoordelijke worden aangesteld voor de bescherming ervan. “Welke kwaliteiten en capaciteiten die verantwoordelijke moet hebben? Hij moet natuurlijk het een en ander weten over de methodologie van risicoanalyse en vertrouwd zijn met technieken van beveiliging. Zijn belangrijkste en moeilijkste taak bestaat er echter in de interne communicatie in goede banen te leiden en een bewustwordingsproces op gang te brengen bij de werknemers. Je mag nog over het beste beveiligingssysteem beschikken, als de gebruikers van de computers paswoorden beginnen uit te wisselen, dient het allemaal tot niets.”
Optimalisatie bestaat uit verschillende stappen. Het personeel dient de risico’s van onzorgvuldig gegevensbeheer te kennen. Het management dient de nodige bepalingen te integreren in de contracten en/of het arbeidsreglement. Er moet een permanente inventaris zijn van de aanwezige software, die regelmatig wordt gecontroleerd aan de hand van de inventaris. Het bedrijf moet een noodplan opstellen en regelmatig testen, opdat de voornaamste activiteiten kunnen worden voortgezet bij een schadegeval. Verontrustende vaststelling van Belcliv: een derde van de ondervraagde bedrijven beschikt helemaal niet over zo’n noodplan, nog een derde test het nooit. En dan is het zo goed als waardeloos.
EEN EIGEN DIENST 100
Beter voorkomen dan genezen, zei grootmoeder altijd. De Belgische ondernemer gaat echter pas over tot veiligheidsmaatregelen als het net fout is gegaan. De meest voorkomende oorzaken van schade zijn hardwarepannes, stroom- en telecommunicatieonderbrekingen, gebruiksfouten, ontwerp- en uitvoeringsfouten. Om een idee te geven van de omvang van het probleem: 62 procent van de door Belcliv ondervraagde ondernemingen heeft tijdens de jongste drie jaar schade opgelopen ten gevolge van hardwarepannes, zowat 60 procent is in diezelfde periode het slachtoffer geweest van minstens een virus. Al zegt 80 procent van de ondernemingen een methode te gebruiken ter bestrijding van computervirussen, toch blijft het aantal “infecties” bijzonder hoog.
Men zou verwachten dat de zorg om de digitale inboedel groeit nu het probleem van het jaar 2000 volop in de belangstelling staat. Maar dat valt lelijk tegen, aldus Golvers. “Het VBO waarschuwt, maar er zijn nog veel ondernemingen die tot op heden niets hebben gedaan om het volgende millennium veilig te kunnen beginnen. Wel, voor hen wordt het stilaan te laat, ongelukken lijken me onvermijdelijk. Er zijn oplossingen voorhanden, maar de softwareprogrammateurs die zich met de zaak bezighouden, zijn volgeboekt. België heeft momenteel een tekort van zo’n 5000 tot 10.000 informatici. Dat zal ons nog zuur opbreken.”
Voor wie nog niet bekend is met het probleem: de software in oude computers slaat op 1 januari 2000 terug op het jaar 1900, omdat bij het programmeren enkel de laatste twee cijfers van het jaartal als variabelen werden ingevoerd. Onder andere voor banken zou die sprong terug in de tijd catastrofale gevolgen kunnen hebben, al moet gezegd dat de grote ondernemingen wel volop met de aanpassing van hun software bezig zijn.
Zowel de elektronicaleveranciers als “derden” organiseren een eigen soort “dienst 100”, die gespecialiseerd is in het herstellen of reinigen van beschadigde gegevens en toestellen. Bij waterschade of brand in het bedrijf, snellen ze ter plekke om de computers letterlijk en figuurlijk uit de vlammen te slepen. Relectronic, een afdeling van Siemens, redde onlangs 300.000 pc’s na een brand bij Barco. “De procedure bij een interventie na brand of waterschade is dezelfde. Eerst worden de toestellen zo snel mogelijk naar een droge plek gebracht, om corrosie te voorkomen. Daarna worden ze volledig gedemonteerd, gereinigd in baden met speciale chemicaliën, gedroogd in een gewone oven en daarna in een vacuümoven en vervolgens opnieuw gemonteerd en getest. Het reinigen van een pc duurt niet langer dan vier uur, maar een scanner kan twee weken in beslag nemen.” Relectronic heeft vooral grote bedrijven als klant, al kan je hen ook opbellen als je thuis een fles cola over de pc hebt gemorst. Group 4 Securitas zette in samenwerking met onder andere computergroep IBM een gespecialiseerde dienst op voor het ophalen van back-ups. Veiligheidsagenten van Securitas komen de reservebestanden ophalen, om ze dan in brandvrije kluizen te bewaren.
BEZOEK ZONDER UITNODIGING
Schadegevallen van kwaadwillige oorsprong zijn jammer genoeg een realiteit. Diefstal van materieel en software, informaticafraude, materiële en logische sabotage: het komt allemaal voor. Belcliv noteerde in zijn onderzoek liefst 120 gevallen van “criminele incidenten”. Waar Belcliv niet aan dacht en wat ook onmogelijk in de studie had kunnen worden opgenomen, is de hightech-sabotage die op dit moment plaatsvindt. Slimme spionnen slagen er namelijk in om computers in een andere kamer “af te luisteren”. Concreet: ze toveren alles wat er op een pc-monitor gebeurt, te voorschijn op hun monitor. Zonder verbinding tussen de toestellen.
Een en ander is mogelijk doordat een computer straling veroorzaakt wanneer hij draait – dezelfde elektromagnetische golven die radio- en tv-zenders gebruiken. En hoe sneller de pc, hoe groter het probleem. Op enkele jaren tijd is de klokfrequentie van de pc gestegen van 40 tot 133 of 266 megahertz (MHz), wat ook betekent dat de straling sterker is geworden. En dus gemakkelijker te onderscheppen. Een gewone tv-monitor op enkele meters afstand plaatsen, volstaat al om te kunnen meelezen. Met professionele apparatuur kan men een hele kilometer overbruggen. Zo slaagde een New Yorkse veiligheidsspecialist erin om de Verenigde Naties en de Federal Reserve, de Amerikaanse Nationale Bank, een bezoekje te brengen zonder uitnodiging.
Zit er dan niets anders op dan weer pen en papier te gebruiken? Toch wel. Men kan aankloppen bij een producent van stralingszekere en niet-afluisterbare pc’s. Aan particulieren worden echter alleen pc’s geleverd die beperkt gezekerd zijn. Volledig niet-afluisterbare computers zijn voorbehouden aan officiële instanties. Handiger is wellicht de secuDat, een toestelletje dat naast de pc moet worden gezet en dat zelf een heel sterke straling uitzendt, waardoor die van de te beveiligen pc wordt geneutraliseerd. In de huidige situatie lijkt spionage echter een makkie. Als twee concurrenten op hetzelfde moment met hetzelfde revolutionaire product op de markt komen, hoeft dat dus niet noodzakelijk toeval te zijn.
Bart Vandormael
