Wordt het internet onveiliger?
Na Microsoft heeft Symantec de meeste klanten in de IT-sector, onder meer met Norton Antivirus. Gevoelens van groeiende onveiligheid spelen Symantec weliswaar in de kaart, maar zorgen zijn er genoeg. Op de Symantec-campus in Silicon Valley sprak Netkwesties met John W. Thompson, voorzitter van Symantec.
Wordt het internet onveiliger?
Thompson: "Je moet goed onderscheid maken tussen het tijdstip van de ontdekking van een lek en het misbruik daarvan met een virus. Die periode was enkele jaren terug nog tussen de 120 en 180 dagen. Bij MS Blaster was die periode 27 dagen. Die periode wordt steeds korter. Uiteindelijk komen we uit op 0 dagen."
"Ten tweede is verbreiding veel sneller geworden. Bij Melissa en Lovebug, drie á vier jaar geleden, was de tijd tussen de eerste infectie en de top van de besmetting twee tot drie weken. Klanten hadden lange tijd om te reageren. Maar bij recente aanvallen van Blaster en Sobig was de tijd tussen begin en piek 10 uur. Om de schade te beperken moeten de alert- en responsetijd dus veel beter worden."
Bestaat cyberwar of cyberterrorisme?
"Nee. Ik geloof persoonlijk niet in cyberterrorisme noch in een internetoorlog. Het uitgangspunt van die termen is simpelweg onjuist. We noemen de criminelen die door het World Trade center en het Pentagon vlogen toch ook geen vliegtuigterroristen?"
"Het is onjuist om de karakteristiek van het medium te benoemen als de kern van een aanval. Mensen die deze termen gebruiken doen dat met name om angst te zaaien. Ik geloof niet in het concept van een cyberoorlog. Maar we moeten wel het bewustzijn vergroten, maar niet met het angst zaaien voor een internet-meltdown. Want in die methode geloof ik niet zo in..."
Gaat het misschien toch een keer fout?
"Het is goed denkbaar dat er aanvallen zullen komen met veel meer impact dan we tot nu toe voor mogelijk hebben gehouden. Dat concluderen we op grond van software in onze labs. Daarom zullen we van een reactieve houding meer en meer moeten gaan naar proactief handelen. Virusdetectie zal niet meer gebeuren op basis van definities en 'signatures', maar met heuristische technieken die bepaalde anomalieën kunnen herkennen."
Zit tussen weten en handelen bij consumenten en tal van bedrijven ook een groot gat?
"Probleem is inderdaad niet de waarschuwing, maar klanten tot actie aanzetten. Binnen bedrijven is er onachtzaamheid of een strijd in prioriteiten, bij kleine bedrijven en consumenten is de kennis vaak te klein. We hebben de grootste databank met softwarelekken in de hele wereld en die wordt ook enorm veel geraadpleegd. Maar het aantal werkelijk ondernomen acties blijkt vervolgens veel kleiner te zijn."
Is het niet ondoenlijk geworden om als individu lekken te dichten?
"Veel kleine bedrijven en consumenten denken dat ze kunnen volstaan met een up-to-date virusscanner en een firewall, terwijl ze dan de gebreken in hun programma's laten zitten. Dat is fout. Beveiliging heeft een veel meer procesgericht en minder ad hoc denken nodig. Je moet beveiliging managen, ook als je een wat kleinere gebruiker bent."
Hoe staat het met uw contacten in de wereld van hackers en crackers. In vroeger tijden van beveiliging van internet waren hackers belangrijk. Dat lijkt te zijn afgenomen?
"Hopelijk zijn onze eigen mensen slimmer en vaardiger dan degenen buiten de muren van dit bedrijf. Je hebt nog steeds de 'whiteheads' en de 'blackheads', degenen die het internet willen beschermen en degenen die schade willen aanbrengen. Wij hebben intern de whiteheads en geen directe contacten met hen buiten het bedrijf."
Looft u wel eens tipgeld uit?
"Nee, we betalen niet. We doen ook niet zomaar aan ethisch hacken. Wel onderzoeken we systemen van bedrijven op kwetsbaarheden als ze daarom vragen. Maar onze serviceafdeling is niet groot, we doen voornamelijk in software."
Wilt u niet meer doen aan het voorkomen van veiligheidsproblemen in eerdere fasen, zoals het testen van systemen?
"Die suggestie krijgen we regelmatig, maar ik geloof niet dat daar onze prioriteit moet liggen. Die moet bij software en de ontwikkeling daarvan blijven liggen, dat is de kracht van Symantec."
Symantec en Microsoft: vriend én vijand
Ik kan me voorstellen dat Microsoft u vraagt om bij de ontwikkeling van Longhorn te testen op veiligheid. Doet ze dat?
"We werken inderdaad heel nauw samen met Microsoft als het om veiligheid gaat. Maar Microsoft is niet alleen een partner, maar in toenemende mate ook een concurrent. Microsoft bracht recent een firewall uit voor Windows XP, een product dat met onze firewall concurreert."
U bent bang van Microsoft als concurrent?
"Ik lig geen seconde wakker van het idee dat Microsoft ook maar iets van onze business zal wegnemen. Het gaat mij erom dat mijn team hier waarmaakt wat ze belooft, steeds weer en steeds beter. Dat we doen wat we zeggen, als we daarin slagen dan blijven we altijd voor op wat Microsoft op dit gebied onderneemt. Dan maakt het me niet uit wat Microsoft doet."
Ze is een werkverschaffer voor u met al die lekken...
"De technieken voor het programmeren van Microsoft zijn niet slechter dan van andere bedrijven. De beweringen dat Microsoft zwakke software maakt, onderschrijf ik niet. Ze schrijven goede code, maar ze schrijven ontzettend veel dat ook nog eens ontzettend veel wordt gebruikt. In programmeren gaat het om kennis, maar ook om vaardigheid. Een programma schrijven is mensenwerk - met alle gevolgen van dien, zoals misbruik van de zwakke delen door hackers en crackers. Een besturingssysteem telt vandaag de dag 40 miljoen regels code. Een klein promillage aan zwakheden is dan al gevaarlijk."
Het is niet uw belang om Microsoft wijzer te maken omtrent zwakheden in de software, noch tevoren andere partijen in te lichten, toch?
"Als wij zelf iets ontdekken, of ergens ook maar enig signaal krijgen, van een nieuw lek in software van Microsoft, dan is onze allereerste actie er eentje richting Microsoft zelf. En dat geldt voor alle programma's. Maar het is niet onze business om tevoren zwakheden op te sporen. Wij bestrijden de gevolgen van de ontdekte kwetsbaarheden."
Het ergste dat Symantec kan overkomen is dat Microsoft ooit zijn veel geuite belofte van veilige producten zal waarmaken.
"Ik hoop dat het ze lukt, dat is goed voor het internet..."
Maar niet voor Symantec...
"We zijn 21 jaar de partner van Microsoft en 21 jaar de concurrent van Microsoft. Het is logisch dat Microsoft belangrijke stappen wil zetten in beveiliging. En ze wordt meer en meer een concurrent. Maar je kunt niet overal de beste in worden. Wij blijven ons louter en alleen richten op beveiliging, dat is onze specialiteit."
Welke omzet had Symantec als gevolg van MS Blaster, een worm die optrad vanwege een lek in Windows?
"Nee, kan ik niet zeggen. We zijn geen bedrijf dat dergelijke gebeurtenissen kapitaliseert en boekstaaft in termen van geld."
Hoe schadelijk is een langere periode zonder virus- of wormaanval voor u?
"Iedere twaalf tot achttien maanden is er een belangrijke uitbraak. En als die trend doorzet, dan moet je strategie ook gericht zijn op omzet in een wat stillere periode. De afgelopen drie jaar hebben we een vrij regelmatige groei van 20 procent per jaar laten zien, onafhankelijk van de uitbraken van virussen of wormen."
Wel voorlichting, geen regulering
Wat te doen met toenemende snelheid en kracht?
"Dan heb je opstoppingen op internet die we nog nooit gezien hebben. Mocht zo'n gebeurtenis ons overkomen, dan ben ik vooral benieuwd naar de reacties van overheden. Gaan die bepalen welk niveau van beveiliging noodzakelijk is voor grote instellingen en voor bijvoorbeeld internetaanbieders? Zo'n aanval kan een grote bedreiging betekenen voor de innovatie en voor de voortgang van zaken."
Wat moeten regeringen doen, volgens u?
"Ze moeten consumenten beter bewust maken van de gevaren die er dreigen met internet. Ze doen dat wel met de gevaren van roken, met schadelijke stoffen, met veiliger auto rijden, maar niet met de digitale gevaren. Er moeten echt brede voorlichtingsprogramma's komen."
"We houden de lekken bij in 3000 programma's. Niemand gebruikt ze allemaal, maar als je proactieve waarschuwingen en aanwijzingen kunt geven voor de honderd programma's die een bedrijf in gebruik heeft, dan moet dat waardevol zijn. Vervolgens is echter de vraag of die bedrijven er organisatorisch voor uitgerust zijn om ook maatregelen te treffen."
Want dat is vaak niet het geval?
"Helaas zien we dat het beheer van desktopcomputers en de dienstverlening van IT-afdelingen een soort van gedemocratiseerd proces is geworden. Gebruikers in de meest afgelegen afdelingen van concerns bepalen zelf wat ze willen installeren. Om meer veiligheid te bereiken moet die democratisering ophouden ten faveure van meer centrale controle."
Geldt dat ook voor internetproviders die beveiliging voor consumenten moeten overnemen?
"Daar heb ik het helemaal niet over. Het gaat er mij om dat regeringen bepalen op welke niveaus er maatregelen voor beveiliging genomen moeten worden. Hun doelstellingen kunnen op internetaanbieders betrekking hebben."
Is het bedreigend als providers de beveiliging overnemen, zodat consumenten veel minder beveiligingssoftware bij u kopen?
"Absoluut niet. Een voorbeeld: ik leef in een omheinde buurt, een 'gated community'. Maar ik koop ook een alarmsysteem en ze verkopen mij zware sluitingen op ramen en deuren en ik heb detectors en ik heb me geabonneerd op een dienst die de buurt in de gaten houdt. Dat zien we ook in de digitale wereld. Als consumenten denken dat providers hen afdoende kunnen beschermen, zitten ze fout."
Waarom?
"De bedreiging zal waarschijnlijk daar plaatsvinden waar de grootste zwakte optreedt. Denk aan peer-to-peer-communicatie en instant messaging, die steeds kwetsbaarder worden. Dan moet je je op je pc beschermen. Ik denk dat het een misvatting is te denken dat een provider je tegen alle kwaad kan beschermen."
Hoe kunnen die miljoenen individuele consumenten dat dan doen als de aanbieder er al niet in slaagt om de zaak dicht te houden?
"OK, ik denk wel dat een provider een deel van de beveiliging voor zijn rekening zal kunnen nemen, zoals ze nu doen met aanbod van virusscanners op de e-mail. Maar kan ik de sloten van mijn deuren halen omdat ik in een omheinde gemeenschap leef? Dat kan fysiek niet en ook in de digitale wereld niet, we nemen veel voorzorgsmaatregelen want we vertrouwen niet op één soort bescherming."
De vergelijking van internet met uw stad gaan niet op. Het internet kent centrale punten waarover het verkeer loopt, bij providers. Daar kunnen maatregelen worden genomen. Dat kan toch niet in de fysieke wereld?
"Geloof me maar, er is geen enkel verschil wat dit betreft in de digitale en fysieke wereld."
Wel...
"Nee, niet... echt, de gedragingen en handelingen van mensen zijn niet verschillend offline en online. Je moet jezelf beschermen, je kunt de verantwoordelijkheid voor de eigen veiligheid niet uit de weg gaan."
Maar de gemiddelde gebruiker weet niet hoe hij zich moet beveiligen....
"De regeringen moeten dus voorlichten, moeten ondersteuning bieden. We hebben het punt bereikt in de wereld dat regeringen en instellingen hun taak moeten nemen. De taakverdeling van de verschillende spelers moet duidelijker worden, iedereen moet zich van zijn taken bewust zijn."
Steeds meer sectoren en personen zijn onderling afhankelijk van elkaar met software. Moeten er meer regels komen voor ketenaansprakelijkheid als het mis gaat?
"Je moet niet alles willen reguleren. Continuïteit van processen en beveiliging zorgt voor een welbegrepen eigenbelang. Je ziet bijvoorbeeld in de financiële wereld een aantal overheidseisen voor systemen. Ook in de transportsector bestaan er regels voor beveiliging, maar je kunt het meeste niet regelen."
"Hoe kun je internetveiligheid regelen als we niet eens in staat zijn om het auteursrecht te regelen en te handhaven? Regulering is geen panacee voor de problemen."
Links
[Peter Olsthoorn, 30 oktober 2003]
Warning: include() [function.include]: open_basedir restriction in effect. File(/home/sites/www.netkwesties.nl/web/templates/artikel_kolomscheider.php) is not within the allowed path(s): (/home/netkwestie/:/tmp:/usr/local/lib/php/) in /home/netkwestie/domains/netkwesties.nl/public_html/editie72/artikel3.php on line 149
Warning: include(/home/sites/www.netkwesties.nl/web/templates/artikel_kolomscheider.php) [function.include]: failed to open stream: Operation not permitted in /home/netkwestie/domains/netkwesties.nl/public_html/editie72/artikel3.php on line 149
Warning: include() [function.include]: Failed opening '/home/sites/www.netkwesties.nl/web/templates/artikel_kolomscheider.php' for inclusion (include_path='.:/usr/local/lib/php') in /home/netkwestie/domains/netkwesties.nl/public_html/editie72/artikel3.php on line 149