Wat te doen tegen cyberterrorisme? Die vraag stond centraal op 11 september 2003 in Den Haag, bij een discussie over de kwetsbaarheid van internet. Aanwezige terroristen hebben ongetwijfeld genoten.
Het e-mailsysteem van het ministerie van (nu) Landbouw, Natuurbeheer en Voedselkwaliteit lag op 13 en 14 februari 2001 plat als gevolg van een besmetting met het Kournikova-virus. "Als zoiets was gebeurd net bij het uitbreken van de MKZ-crisis, dan was dat funest geweest", aldus Eric Luiijf.
Luiijf, werkzaam bij TNO, is een van 's lands belangrijkste mensen in ICT-beveiliging. Hij rapporteerde (pdf) aan de regering over veiligheid van elektronische communicatie in Nederland, reden voor een interview in Netkwesties vorig jaar.
Dit rapport is de basis van het project 'Bescherming vitale infrastructuur'. Het is min of meer geheim, want het gaat immers ook over het moment waarop het leger in actie komt. Dat hadden de aanwezigen bij de discussie van Kwint wel mogen vernemen, maar het onderwerp bleef onaangeroerd.
De vraag van nationale verdediging kwam niet aan de orde tijdens die discussie. Die verliep moeizaam - om een aantal redenen. Ten eerste is het onderwerp, 'cybercriminaliteit', hoe leuk ook gekozen op een datum precies twee jaar na de WTC-ramp, non-existent. Dan is de strijd daartegen niet eenvoudig te bepalen. Defensie ontbrak bijvoorbeeld, al adviseert het wel aanwezige TNO dat ministerie wel nauwgezet.
Ten tweede kwam de vooraf aangekondigde discussievraag 'Hoeveel mag veilig internet kosten' niet echt op tafel. De vragen lijken simpel: Waartegen moet je je beveiligen? Op welke niveaus? Wie onderneemt actie? Hoeveel mag het kosten en wie betaalt dat?
Ook deze Haagse discussie werd vanuit de zaal deel gevoerd door lobbyisten met hun deelbelangen: het MKB dat geld voor voorlichting vroeg; de consumenten die bescherming door providers eisen en de werkgevers die vinden dat de overheid in het verlangde van hun belangen moet handelen.
Luiijf over het risico: "Veel organisaties stoppen zo ontzettend veel in het systeem, wat ook simpele problemen geeft. Als het e-mailsysteem plat gaat, blijken ze niet te kunnen faxen, omdat de fax- en telefoonnummers daar in het e-mailadresboek staan. Organisaties zijn totaal niet voorbereid."
Professor Edo Roos-Lindgreen beaamde dat het niet goed zit met het bewustzijn over beveiliging: "Zo'n 50 procent van de bedrijven heeft geen benul welke risico's uitval van communicatiesystemen met zich meebrengt. Ook grote concerns investeren er niet genoeg in." Dat laatste werd (uiteraard) door de vertegenwoordiger van VNO-NCW in de zaal tegengesproken, met een verwijzing naar bijvoorbeeld de banken die erg veel investeren.
Vier uur plat
"Laten we zeggen dat internet niet langer dan vier uur achter elkaar mag uitvallen", zo gaf KPN-directeur Ton Driesen vanuit de zaal een schot voor de boeg. "En een tweede eis is dan dat alle routes altijd dubbel uitgevoerd zijn. En je moet natuurlijk de risico's goed in kaart brengen."
Nu is internet zo opgebouwd dat er vrijwel altijd wel alternatieve routes voor het verkeer voorhanden zijn, aldus de deskundigen. Het werkelijke probleem zit bij consumenten. Providers kunnen dat probleem overnemen, aldus Hans Leemans, directeur van providerorganisatie NLIP, maar dat kost geld: "En consumenten gaan momenteel in de markt voor de laagste (breedband)prijs. "Misschien moet je komen tot een soort van APK-keuring van pc's die aan internet komen te hangen. Ik denk dat hier voor providers en de retail een mooie marktkans ligt."
De provider moet zijn verantoordelijkheid nemen dat er geen virus doorkomt, vindt de Consumentenbond. Maar aansprakelijkheid ontbreekt. Zo werd het voorbeeld genoemd van een centraal virusfilter (van Planet Internet) dat toch virussen doorlaat. Dat zou niet mogen gebeuren.
Maar Luiijff ziet hetzelfde bij bedrijven en overheden: "Op de werkvloer gaat het mis. Zo stond er bij een waterschap een systeem volkomen open. Denk eens in wat dat voor ramp kan opleveren als zo'n systeem aan operationeel waterbeheer is verbonden."
Dat zijn belangrijke lessen voor terroristen: als je Nederland wilt aanvallen, dan moet je dat in een combinatie doen: bijvoorbeeld een nutssysteem aanvallen en tegelijkertijd de communicatie. In genoemd rapport staan de voorbeelden.
Als het dan tot bestrijding moet komen, is Justitie daar volgens de heren deskundigen onvoldoende op voorbereid. Bij opsporing ligt nu de nadruk op kinderporno en niet op aanvallen. "We krijgen ook geen aangiftes binnen van het bedrijfleven", klaagde Arno Hoogstraten van Justitie (daarmee overigens de 65.000 aangiften gerapporteerd door Ernst & Young weerleggend).
Maar volgens Leemans van de NLIP heeft aangifte nu niet veel zin. Bij een dreigende aanval op een zaterdag voor pasen was volgens hem de digitale recherche niet in functie en moesten providers op hulp wachten tot de dinsdag erna. Bovendien is er in het beleid de nodige miscommunicatie tussen ministeries, al poogt de organisatie GovCert - waar niet alle ministeries zich voortvarend hebben gemeld - daar enthousiast een einde aan te maken.
Goede beveiliging heeft tijd nodig, dat gold 70 jaar geleden ook voor het autoverkeer in Nederland, zo wist een adviseur van Cap Gemini. Het komt in de tijd wel goed.
Zijn collega van IBM zag het anders: "Iedereen preekt hier voor eigen parochie. Als niemand de veiligheid als een groot probleem formuleert en er extra geld voor over heeft, dan is er ook niet echt een probleem. Anders zouden ze wel harder lopen om het op te lossen..."
[Peter Olsthoorn, 18 september 2003]
Warning: include() [function.include]: open_basedir restriction in effect. File(/home/sites/www.netkwesties.nl/web/templates/artikel_kolomscheider.php) is not within the allowed path(s): (/home/netkwestie/:/tmp:/usr/local/lib/php/) in /home/netkwestie/domains/netkwesties.nl/public_html/editie69/artikel5.php on line 56
Warning: include(/home/sites/www.netkwesties.nl/web/templates/artikel_kolomscheider.php) [function.include]: failed to open stream: Operation not permitted in /home/netkwestie/domains/netkwesties.nl/public_html/editie69/artikel5.php on line 56
Warning: include() [function.include]: Failed opening '/home/sites/www.netkwesties.nl/web/templates/artikel_kolomscheider.php' for inclusion (include_path='.:/usr/local/lib/php') in /home/netkwestie/domains/netkwesties.nl/public_html/editie69/artikel5.php on line 56