Eerste terrorist veroordeeld

Herbert Blankesteijn

 

Vorige week is in Nederland de eerste terrorist veroordeeld. Hij kreeg 150 uur dienstverlening.

 

Goed ingevoerde lezers begrijpen dat ik het heb over Jan de W., de maker van het Kournikovavirus. In februari liet hij zijn creatie los op internet; de problemen die hierdoor ontstonden kostten het bedrijfsleven miljoenen.

 

Huiskamervraag 1: Is een virusmaker net zoiets als een terrorist?

 

Ik beweer niet dat deze schade even groot is als die aan het Wereldhandelscentrum in New York. Maar je bent niet alleen een terrorist als je een wolkenkrabber van honderd verdiepingen met de grond gelijk maakt. Er zijn bomaanslagen zijn geweest met minder materiële schade dan is aangericht door het Anna Kournikova-virus.

 

Virusmakers zijn terroristen. Ze richten in het wilde weg vernielingen aan. En dat zonder een zaak waar ze voor vechten, die je zou kunnen zien als een verzachtende omstandigheid - zoals sommige mensen begrip hebben voor de haat in de Arabische wereld tegen Amerika. Het zijn vandalen, maar ze zijn het vandalisme voorbij. Een individuele uiting van vandalisme - het slopen van een telefooncel of een treinstel - is in financiële schade gemeten onbetekenend vergeleken bij een virus uit de middenmoot. Daarom heeft het maken en verspreiden van virussen meer weg van grootschalige, aanslagsgewijze destructie, dus van terrorisme.

 

(Natuurlijk moeten bedrijven en consumenten aan beveiliging doen. Maar als ze dat niet doen, geeft dat je niet het recht vernielingen aan te richten. Het feit dat Oklahoma City niet bomvrij is, kan geen reden zijn er overheidsgebouwen op te blazen.)

 

Die 150 uur werkstraf is een lachertje. Om een signaal te geven, had het Openbaar Ministerie moeten inzetten op een fikse gevangenisstraf. Christopher Pile, de maker van het virus Smeg (nooit van gehoord) uit 1995, kreeg in Engeland anderhalf jaar, en de onverbeterlijke Amerikaanse hacker Kevin Mitnick zat een jaar of vier in voorarrest, in feite een vorm van foltering. Hoewel ik dat laatste niet goedpraat, moet het afgelopen zijn met de gevoelens van sympathie voor hackers. Het zijn terroristen en ze moeten navenant worden gestraft. Ze doen niet aan zelfmoord en ze hebben geen motief of ideologie, dus van strenge straffen kan een afschrikwekkende werking uitgaan.

 

De paradox van deze terreur is, dat hij positieve effecten heeft. Hij maakt mensen bewust van de noodzaak van beveiliging - hoewel nog te weinig. Hij laat bedrijven wennen aan schade door vandalisme als een fact of life. Dank zijn deze effecten hebben we op internet niets te vrezen van de terroristen die het WTC in de as hebben gelegd, of van wat voor cyberwar dan ook. Van virussen, DoS-aanvallen, diefstallen van creditcardnummers en dergelijke zouden we vijf jaar geleden onder de indruk zijn geweest, maar nu niet meer. En als er nog meer manieren waren om computergegevens en dataverkeer in het ongerede te brengen, hadden onze eigen klootzakjes ze allang verzonnen.

 

Huiskamervraag 2: Wie is er bang voor cyberwar?

 

De computerbeveiliging heeft een paar eenvoudige lessen geleerd van de huis-, tuin- en keukenbewaking: ramen en deuren niet open laten staan, en toch het binnendringen bestraffen. Nu is het tijd dat de mensenwereld een lesje leert in cyberspace: een beveiliging wordt sterker als hij op de proef wordt gesteld. Veel bedrijven huren hackers in om, betaald en zonder schade aan te richten, gaten in de digitale beveiliging te zoeken. Daarom moeten in de luchtvaart regelmatig tassen met wapens in de controle worden gezet in opdracht van superieuren, zodat de functionarissen die naar de röntgenschermen kijken weten dat er werkelijk iets is om naar te zoeken. Er moet serieus worden geprobeerd dingen door de controle te krijgen. Kun je een vliegtuig kapen met plastic wurgstokjes. Ik denk het wel. Kun je van moderne kunststoffen gevaarlijke messen maken? Komen die door de controle? Ik weet het niet. Als je op de vliegvelden een wapenwedloop in het leven roept zoals die op internet, zal de beveiliging regelmatig falen, maar ook steeds worden verbeterd.

 

Cyberterrorisme moet worden uitgeroeid. Maar het is goed dat het er is.