Dat ict-security een bijzonder complex probleem is dat een nooit aflatende zorg vereist, weet onderhand het kleinste kind. Een gesprek met Bruce Schneier, oprichter van security services leverancier Counterpane, op de recente RSA Conference in London illustreert helaas hoezeer die complexiteit nog groeit.

En dat op verschillende niveaus. Zo benadrukt Bruce Schneier hoe verrassend sterk de professionalisering van misdadige ict-aanvallen zich heeft doorgezet. En hoe ‘mainstream’ het hackersgebeuren in bepaalde landen wel is, zoals in Rusland, “waar er geen wetten zijn om hen te stoppen.”

Een en ander blijkt mooi uit de wijze waarop de ‘Storm’ worm evolueert. Niet alleen zijn de ‘Storm’ aanvallen gevarieerd en doorheen de tijd continu aangepast, maar tevens wordt er beheerst en zakelijk omgesprongen met het resulterende botnet. Het wordt niet meteen voor opzichtige acties aangewend, maar lijkt volgens recente berichten veeleer in stukken te worden aangeboden. “Het probleem is dat vandaag nog de meeste securityproducten veeleer beschermen tegen de ‘hobby hacker’ dreiging en niet de misdadige aanvallen!”

Burgers bedreigen bedrijven

“Het gevaar komt daarbij tevens van mijn moeder,” stelt Schneier boudweg, waarbij hij natuurlijk verwijst naar de huisgebruikers als groep. Door hun gedrag – “ze klikken op eender welke bijlage” en de configuratie van hun systemen – “ze zetten vaak zomaar hun firewall af als hen daarom wordt gevraagd, en vergeten vervolgens die weer in te schakelen” – leveren ze hun pc over aan de misdadigers, die er vervolgens misbruik van maken voor hun aanvallen.

Wat Schneier betreft, moeten de isp’s op dit punt optreden en de consumenten beschermen. De huidige toestand is immers onhoudbaar aangezien de zwakste gebruikers – de consumenten – het schier zonder hulp moeten stellen, en niet zoals hij zelf kunnen rekenen op de ondersteuning van “een it-departement, zoals dat van BT (de eigenaar van Counterpane, nvdr).” Maar hij ziet de isp’s dat pas doen “als ze hiervoor een ‘business case’ formuleren en er geld voor kunnen vragen,” of als ze er zelf teveel schade door lijden (door een verspilling van hun distributiecapaciteit).

Bovendien zorgt het groeiend aantal online gebruikers ervoor dat het percentage minder onderlegde gebruikers nog toeneemt. En hen een securitytraining meegeven, ligt niet voor de hand. “Kijk maar wat de meeste mensen weten over hun auto. Dat is vaak niet meer dan het minimum om te kunnen tanken en wellicht de bandenspanning te meten. Dat is het niveau waarop je moet praten,” aldus Schneier, “[… ] Voorts schudt de security zo tezeer zijn verantwoordelijkheid van zich af. Het internet en de site moeten gewoonweg veilig zijn voor personen zoals mijn moeder.” Uiteraard zijn niet alle gebruikers gelijk. Zo kan je verwachten dat de huidige jongeren wellicht een beter inzicht in de online gevaren hebben, maar voor iedereen geldt dat security een kwestie is van ervaring opdoen… “en de technologie verandert zo snel dat je daar amper de tijd voor krijgt.” Zijn verwachting is dan ook niet dat de toestand over pakweg tien jaar beter zal zijn, maar veelal slechter.

Veel gevaren

Schneier wijst voorts ook op de blijvende gevaren van onder meer de ‘insiders’ in bedrijven, die ook vandaag nog voor het grootste percentage van inbreuken zorgen. Omdat ze vaak diepgaande in-side kennis hebben, “kan je hen niet tegenhouden, maar je kan hen wel vatten,” aldus Schneier, “mits goede ‘audit’-praktijken. En ja, vaak moet daar ook stevig forensisch onderzoek bij te pas komen, want insiders kunnen hun sporen uitwissen.” Een ‘internet2’ – in casu een nieuw en geheel gescheiden internet met meer securityvoorzieningen – ziet hij ook niet meteen als oplossing, gezien de ervaringen met de huidige gescheiden netwerken, zoals dat “van de Amerikaanse overheid. Gewoonlijk duurt het maar 24 uur eer de nieuwe wormen ook daar opduiken. Er is immers altijd wel een generaal of een dergelijke persoon die onvoorzichtig te werk gaat.” Beter is het om een beveiliging op te zetten die zich richt op de bescherming van een proces op zijn weg doorheen het bedrijf, met voorzieningen om het gedrag van de betrokkenen en de integriteit van de gegevens te controleren doorheen alle betrokken afdelingen. En op dezelfde wijze moeten bedrijven beseffen dat ook security (en het audit gebeuren) zelf een nooit eindigend proces moet zijn.

In dat proces moet voorts ook een steeds bredere kijk worden gehanteerd om de gevaren in een bedrijf te zien. Zo worden steeds meer productiesystemen bijeengebracht in netwerken die ook open staan voor de buitenwereld. Aanvallen op SCADA-systemen (Supervisory Control And Data Acquisition) die machineparken en distributienetwerken (zoals het elektriciteitsnetwerk) beheren, acht hij nog een overroepen gevaar, maar de toestand verslechtert wel. En dat belooft de verantwoordelijken voor de cruciale infrastructuur van een land extra en groeiende kopbrekens te bezorgen.

Gevoel van veiligheid

Om het securitygebeuren helemaal complex te maken, had Schneier het ook over het verschil tussen ‘veilig zijn’ en ‘zich veilig voelen’. Men kan immers zich veilig wanen en het niet zijn (bijvoorbeeld na onoordeelkundige securityinvesteringen), of omgekeerd. Dat maakt dat Schneier nu ook het nut van goed aangewend ‘security theater’ inziet, waarbij een allicht minder nuttige maatregel dik in de verf wordt gezet om de gemoederen te kalmeren, mits natuurlijk er ook echt doeltreffende maatregelen naast staan.

Dat betekent eens te meer de nadruk leggen op het besef dat ict-security op zichzelf niet veel uithaalt, maar moet kaderen in een strategie voor bedrijfscontinuïteit. En een zinvolle strategie, die rekening houdt met interne en externe factoren, maar daarin niet overboord gaat. Men moet zich daarbij eigenlijk niet laten misleiden door de exceptionele aanvallen en gebeurtenissen die breed in het nieuws worden uitgesmeerd. Integendeel, stelt Schneier, “het zijn de dingen die niet meer in het nieuws komen omdat ze zo alledaags zijn, waar men zich zorgen moet over maken!

Guy Kindermans