Internetveiligheid: soms slagen we er niet in de feiten te onderscheiden van de fabels. Jaap Smit van Internet Security Systems licht toe.

Er zijn de doemdenkers, die een internetapocalyps voorspellen met als voorbodes kwalijke fenomenen als spam (massaal verstuurde ongevraagde e-mail, vaak commercieel van aard) en spyware (die verzamelt persoonlijke gegevens van de computergebruiker, stuurt die door naar adverteerbedrijven, die de gebruiker vervolgens bestoken met gerichte reclamemails). Er zijn de optimisten, die onverstoord blijven orakelen over het hoge levenscomfort en de onschatbare informatierijkdom die internet en e-mail ons hebben gebracht. En dan zijn er de anderen, die niet meer weten wat ze moeten geloven. Ze hopen stilletjes dat het antivirusprogramma op hun pc groot onheil zal voorkomen. Of ze surfen en downloaden er vrolijk op los, berustend in de gedachte dat ze meer gevaar lopen in het verkeer dan op het internet. De doemdenkers, de optimisten en de anderen: ze hebben allen gelijk en ongelijk. Feit is dat er geen accurate gegevens bestaan over het aantal internetmisdaden en -misdadigers, noch over de schade die ze aanrichten.

Een eerste groep van hackers doet het louter voor de lol of de glorie, een tweede groep bestaat uit zelfstandige boeven die gegevens opsporen met de bedoeling ze te verkopen, een derde groep wordt gevormd door computerspecialisten die in dienst van criminele organisaties werken. ‘We hebben het vermoeden dat alle categorieën groeien’, zegt Jaap Smit. Hij is senior vice-voorzitter voor Europa, het Midden-Oosten en Afrika van de Amerikaanse internetbeveiligingsgigant Internet Security Systems (ISS), die in meer dan 130 landen ruim 11.000 klanten bedient, onder wie de grootste tien banken en IT-bedrijven ter wereld. Smit erkent: ‘We kunnen dat vermoeden niet staven met precieze cijfers. Al was het maar omdat bedrijven zelden spontaan melding maken van inbraken in hun computernetwerk. Dat zou immers catastrofale gevolgen voor hun imago kunnen hebben. Stel je voor dat een kredietkaartmaatschappij meedeelt dat ze is beroofd door computercriminelen? Als klant zou je overwegen om over te stappen naar de concurrentie.’ Hoe groter de belangen, hoe minder we te weten komen. Vliegtuigbouwer Boeing gaf in 2003 toe dat hij stiekem bij concurrent Lockheed had rondgesnuffeld. Een ontboezeming die het vermoeden wekt van bedrijfsspionage op grote schaal.

Waar feiten ontbreken, ontstaan fabeltjes. Als het gaat over bits en bytes, hebben die fabeltjes zelden een vrolijke toon, getuige de voorspelling van een paniekprofessor dat internet en e-mail weldra ten onder gaan aan virussen en computerterreur. Om te voorkomen dat zulke verhalen het vertrouwen van de gebruiker én de geloofwaardigheid van de beveiligingsindustrie onderuithalen, heeft Jaap Smit de zeven belangrijkste mythes over internetbeveiliging in kaart gebracht.

Mythe 1: ‘Onze firewall (beveiliging op het niveau van het netwerk) en antivirussoftware zullen ons beschermen.’ De ervaring heeft ons geleerd: ze beschermen ons tegen de virussen van gisteren, maar niet tegen die van morgen. Smit: ‘Een virus zoals Love Bug, dat in 2000 miljarden euro’s schade heeft berokkend, wordt vandaag moeiteloos door antivirussoftware geïdentificeerd en onschadelijk gemaakt. Alleen duiken er voortdurend nieuwe bedreigingen op. Het nadeel van de meeste antivirusproducten is dat ze reactief in plaats van proactief werken. Ze kunnen je genezen als je ziek bent, maar ze kunnen de ziekte niet voorkomen. De gemiddelde thuisgebruiker kan daarmee leven: een virusbesmetting zal relatief weinig kwaad aanrichten en wordt uiteindelijk wel bestreden. Grote en middelgrote bedrijven kunnen zich echter geen ziekte veroorloven. Als hun computernetwerk stilligt, vertaalt zich dat meteen in een verlies aan inkomsten.’

De waanzinnige snelheid waarmee virussen zich verspreiden, maakt dat de veiligheid van een computersysteem enkel kan worden gegarandeerd als er afdoende preventieve maatregelen zijn. Symantec en McAfee, de bekendste leveranciers van beveiligingssoftware, schieten daar tekort. Internet Security Systems heeft naar eigen zeggen wél de mirakeloplossing. Smit: ‘Wij detecteren waar het gat in je dak zich bevindt op het moment dat het dak wordt geplaatst. Daardoor hoeven we ons geen zorgen te maken over wat er kan gebeuren als het regent of hagelt of sneeuwt. We leggen een schild over het dak zodat er níéts doorheen kan. Bovendien geven we de leverancier van het dak alle informatie over de gaten die we hebben gevonden, zodat hij zijn daken voortaan waterdicht kan maken.’ Meteen het einde voor Symantec en McAfee, denk je dan, alleen vullen die nog steeds de winkelrekken en is ISS daar niet te bespeuren.

Volgens Smit is die ongerijmdheid eenvoudig te verklaren: ‘Ons goedkoopste product kost 1500 euro. Weinig consumenten willen zoveel geld neerleggen voor de beveiliging van hun pc. Onze klanten zijn grote bedrijven. Die rekenen uit: wat is onze cost of inaction, hoeveel verlies lijden we als we een dag stilliggen? Als ze uitkomen op een bedrag dat de prijs van onze producten overtreft, is de beslissing snel genomen. Mogelijk brengen we op termijn wel een pakket op de markt dat voor iedereen betaalbaar is, maar zover zijn we nog niet.’

Grote troef: een team van meer dan 100 ISS-werknemers speurt 24 uur per dag en 365 dagen per jaar naar verdachte bewegingen in cyberspace. Daarnaast controleert het bedrijf nieuwe software van producenten allerhande op lekken. ‘We analyseren niet de ziekte, we proberen de ziekte te voorkomen.’

Mythe 2: ‘De kostprijs van internetbeveiliging zal onvermijdelijk stijgen.’ In de praktijk stijgt die inderdaad, maar volgens Smit hoeft dat niet zo te zijn. ‘We zien dat het IT-budget in veel bedrijven stabiel blijft, maar dat beveiliging wel een steeds groter aandeel in dat budget vertegenwoordigt. Die trend is vooral toe te schrijven aan de inzet van meer mankracht. Het implementeren van vijf patches (‘lapmiddelen’) per maand over 100 servers bijvoorbeeld vergt zowat 24.000 manuren per jaar. Daar komt bij: wanneer een softwareproducent een patch uitbrengt, slaan zijn klanten alarm, omdat ze vrezen voor onheil als ze die patch niet onmiddellijk installeren. Een proactieve aanpak neemt een deel van de zorgen weg én vergt minder mankracht.’

Mythe 3: ‘Beveiliging is een businessvoorwaarde.’ Internetbeveiligingsfirma’s verkondigen die stelling al jaren, in een poging klanten ervan te overtuigen dat beveiliging een investering en geen kostenpost is. Onzin, meent Smit. ‘De businessvoorwaarde wordt gecreeerd door het internet en de toepassingen die interacties over het internet mogelijk maken. Beveiliging, zeg maar het beheer van de risico’s van dergelijke interacties, is daar een negatief neveneffect van.’

Mythe 4: ‘Hoe meer we weten over de activiteit op ons netwerk, hoe veiliger we zijn.’ Een mythe die zeer aannemelijk klinkt. Smit: ‘Netwerkbeheerders worden overstelpt met data als de beveiligingssoftware elke potentieel gevaarlijke handeling op het netwerk meldt. Dat heeft een contraproductief effect. Het lijkt ons verstandiger om de beveiliging af te stemmen op de ernst van de risico’s. Die risico’s verschillen van bedrijf tot bedrijf. In een bank situeren ze zich rond de financiële applicaties, in een ander bedrijf kan het e-mailsysteem topprioriteit blijken.’

Mythe 5: ‘Alle antivirussoftware werkt op dezelfde manier.’ De meeste digitale virusdoders focussen op de unieke digitale vingerafdruk of ‘handtekening’ van de ziektedrager. Een nieuwe – en aanvullende – techniek is gebaseerd op gedragsanalyse. Een complexe analyse, maar voor beveiligingsbedrijven zeker de inspanning waard. ‘Als we het gedrag van een virus kennen, kunnen we immers grote virusfamilies in één keer uitschakelen’, aldus Smit.

Mythe 6: ‘Wij vormen geen doelwit voor industriële spionage.’ Een blijk van bescheidenheid of naïviteit? ‘Industriële spionage blijft niet beperkt tot grote multinationals’, meent Smit. ‘Het Institute of Directors rapporteerde vorig jaar dat 60 procent van zijn leden, inclusief kleine en middelgrote ondernemingen, was geconfronteerd met diefstal van informatie.’ Niet alle vertrouwelijke informatie is een fortuin waard, maar dat houdt dieven niet tegen om in te breken.

Mythe 7: ‘Netwerkleveranciers en opslagproducenten staan in voor een “onafhankelijke” beveiliging.’ Mythe of niet, waarom moet die beveiliging onafhankelijk zijn? Ze moet vooral betrouwbaar zijn. ‘Toch hebben we ernstige bedenkingen bij de vele overnames van internetbeveiligingsfirma’s door netwerkleveranciers en opslagproducenten als 3Com. Ze gaan namelijk in tegen het principe van de scheiding der machten. Beveiligingsfirma’s hebben als taak om zwakheden in software en hardware te identificeren, ook al schaden hun bevindingen de reputatie van het onderzochte bedrijf. Wanneer partijen met tegengestelde belangen een fusie aangaan, is dat niet zonder gevaar.’

Bart Vandormael

‘Industriële spionage blijft niet beperkt tot grote multinationals.’

Reageren op dit artikel kan u door een e-mail te sturen naar lezersbrieven@knack.be. Uw reactie wordt dan mogelijk meegenomen in het volgende nummer.

Partner Content