Pc-werkers schuldig aan
schade virus
Herbert Blankesteijn
Wie is verantwoordelijk voor
de schade die bedrijven vorige week hebben geleden als gevolg van het I love you-virus? In eerste instantie
natuurlijk degene die het virus heeft gemaakt en losgelaten. Maar met wijzen
naar de Filippijnen schieten we niet veel op, zeker niet voor de toekomst.
Computervirussen bestaan nu al meer dan vijftien jaar. Er komen maandelijks
honderden nieuwe bij en ze komen van steeds weer andere makers. Het bestaan van
virussen is een gegeven waarmee we moeten leren omgaan.
De afdelingen automatisering
valt weinig te verwijten. De technische kant van de virusbestrijding is goed op
orde. Overal functioneren virusscanners op de bedrijfsnetwerken; deze worden
regelmatig bijgewerkt met gegevens over de nieuwste virussen. 'Gevaarlijke'
handelingen, zoals het starten van programma's van meegebrachte diskettes (die
thuis of op school besmet kunnen zijn), zijn veelal onmogelijk gemaakt.
Donderdag is er op de noodsituatie op veel plaatsen goed gereageerd,
bijvoorbeeld door uit voorzorg het e-mailverkeer stil te leggen, en door de
virusscanners aan te passen zodra dit mogelijk was.
Ook de makers van
antivirussoftware kunnen er weinig aan doen. Antivirussoftware reageert op
kenmerken van bekende virussen, dus een splinternieuw virus heeft
onvermijdelijk een goede kans erdoor te komen. Aangepaste software was
verkrijgbaar luttele uren na het losbreken van het virus. De techneuten doen
dus al het mogelijke.
Er is met de beschuldigende
vinger gewezen naar Microsoft, dat in zijn software teveel gereedschappen heeft
ingebouwd die misbruikt kunnen worden. Dit is niet de kern van het probleem. Er
bestaan ook virussen voor de Macintosh; het feit dat dit er zoveel minder zijn
is vooral een gevolg van de geringere populariteit van de Mac. Virusmakers
vinden het minder leuk 'voor de Mac' te schrijven, omdat dit minder publicitair
effect heeft. Als de software van Microsoft veiliger was, zouden er ook
virussen zijn - het zou alleen maar een grotere uitdaging zijn ze te maken.
Meer technische maatregelen,
zoals het uitschakelen van de 'scripting' op pc's, werken tegen een bepaald
virus, en dus niet voor het volgende. Ronduit pathetisch zijn de
waarschuwingen in de media dat het virus onder een andere naam is opgedoken. In
een uur tijd kan ik een paar honderd kopiën van het virus de wereld in mailen
die elk een andere, nieuwe naam dragen. Zulke waarschuwingen geven mensen die
het virus toch activeren alleen maar een excuus: voor die naam was nog
niet gewaarschuwd!
Een structureel zwakke plek
in de beveiliging tegen computervirussen is de pc-gebruiker. Ongeveer eens in
de twee maanden verschijnt er een virus dat zich zo spectaculair
vermenigvuldigt, of zo kwaadaardig is, dat het de media haalt: Melissa, Happy99,
ExploreZip en PrettyPark zijn voorbeelden. De laatste tijd gaat het meestal om
virussen die zich verspreiden als aanhangsel bij een e-mail. Dat is op het
ogenblik de meest efficiënte verspreidingswijze, en dus de meest interessante
voor virusmakers. Hoe dit in zijn werk gaat wordt elke keer weer uitgelegd in
de media, en hoe je besmetting kunt voorkomen ook. Ten overvloede: open
aanhangsels alleen nadat de virusscanner een controle heeft uitgevoerd. Omdat
een aanhangsel ook een splinternieuw virus kan bevatten: open aanhangsels bij
ongebruikelijke mail helemáál niet. Check eventueel eerst bij de afzender. Het
onderwerp van het I love you-virus en
het feit dat de tekst van de mail in het Engels is gesteld, terwijl het leek te
komen van een Nederlandse bekende, hadden elke Nederlandse kantoorwerker die
wel eens een krant leest, genoeg moeten zeggen.
Jammer genoeg kiezen de
meeste beeldschermwerkers ervoor zo weinig mogelijk te weten van hun
voornaamste gereedschap. Deze houding is niet langer toelaatbaar. Een timmerman
die het vertikt belangstelling op te brengen voor de werking van een
boormachine, deugt niet voor zijn vak.
Bedrijven moeten werknemers
de gelegenheid geven een minimum aan kennis op te doen. Cursussen aanbieden is
daarvoor een mogelijkheid, maar misschien niet eens de beste. Er wordt in
bedrijven de laatste tijd nogal neurotisch gedaan over 'misbruik' van internet
op de zaak, voor privé- of recreatieve doeleinden. Waarschijnlijk leren mensen
veel meer van het doen van dingen die ze leuk vinden dan van het volgen van een
schoolse cursus, en het is goedkoper ook. Het is dus zaak dit zoveel mogelijk
toe te staan, zolang deze activiteiten legaal zijn en niet zelf de
computerveiligheid in gevaar brengen.
Daarnaast moeten de eerste
beginselen van de virusbescherming de medewerkers worden ingeprent. Deze zijn,
zoals blijkt, voor een normale bedrijfsvoering net zo essentieel als de regels
met betrekking tot brandveiligheid. Als het bedrijf de werknemer in de
gelegenheid heeft gesteld kennis te nemen van deze regels, lijkt het redelijk
dat op het overtreden ervan een sanctie komt te staan. Wat zou een bedrijf doen
met een medewerker die een brandende sigaret gooit in een prullenbak vol
papier?