Exit cyberterreur

Vooral westerlingen beoefenen cyberterreur

Herbert Blankesteijn

Al jaren wordt er gewaarschuwd voor cyberterrorisme: aanvallen even destructief als die van 11 september, met dit verschil dat ze worden uitgevoerd via netwerken op vitale computersystemen. Sinds 11 september lijken bedrijven en instellingen hier extra beducht voor. Beveiligingsbedrijven in de VS melden een toename in het aantal opdrachten. Er is angst dat een volgende aanval in cyberspace wordt uitgevoerd, al was het maar als wraak voor mogelijke vergeldingsmaatregelen van de VS.

Mijn reactie op deze angstpsychose is tweeledig. Ten eerste: cyberterrorisme is een non-issue. Ten tweede, schijnbaar hiermee in strijd: cyberterrorisme bestaat allang.

Het is een non-issue omdat echte terroristen hun doelen, namelijk het zaaien van paniek door middel van dood, verderf en overweldigende publiciteit, het best op conventionele manier kunnen bereiken. De WTC-aanslag heeft dit onomstotelijk aangetoond. Zelfs het onbruikbaar maken van computergegevens en -netwerken kan waarschijnlijk makkelijker en efficiënter gebeuren met een flinke bom op de juiste plaats, of door het liquideren van zorgvuldig uitgekozen mensen, dan door gepriegel vanachter het toetsenbord. In ieder geval is er geen enkel concreet bewijsmateriaal voor destructieve activiteiten van terreurorganisaties op computernetwerken.

De spionagesystemen Echelon en Carnivore, waarover zoveel ophef is geweest, hebben die zwarte dinsdag niet kunnen voorkomen. Het is mogelijk dat de daders, voor zover ze van moderne media gebruik hebben gemaakt, dit gedaan hebben met behulp van geavanceerde cryptografie. Maar dit doet niet terzake omdat de inlichtingendiensten blijkbaar geen idee hebben gehad wie of wat ze in de gaten moesten houden. Het Kwaad liep over straat, huurde kamers en auto's, nam vlieglessen. Misschien hebben de daders ook wel gemaild en gesurft, wat doet het ertoe? De stap van de Amerikaanse Senaat op 14 september om de mogelijkheden en reikwijdte van Carnivore uit te breiden is dan ook net zo pathetisch en zinloos als het aanvallen van Afghanistan, waar niets is om aan te vallen.

Aan de andere kant bestaat cyberterrorisme al jaren, in de vorm van de activiteiten van allerlei vandalen. Tel uw zegeningen! We weten allang wat voor schade er op afstand aan computersystemen kan worden aangericht. Het is onwaarschijnlijk dat een handjevol godsdienstfanaten uit achtergebleven landen iets kan verzinnen of doen dat niet allang is verzonnen of gedaan door de tienduizenden goed opgeleide slopers uit het Westen zelf. Dat is goed, omdat we aan deze gevaren inmiddels zijn gewend en ze als een bescheiden dagelijks ongemak beschouwen. Natúúrlijk gaat er nu en dan een website van een groot bedrijf of overheidsorganisatie plat door een aanval via internet. Uiteraard circuleert er op gezette tijden een geniepig virus. Het is normaal dat er eens in de zoveel tijd een vracht creditcardnummers bij een webwinkel wordt ontvreemd. En als de voorpagina van je website nog nooit is vervangen door een flauwe boodschap van een of andere snotneus, tel je eigenlijk niet mee.

Enerzijds liggen we van dergelijke gebeurtenissen niet meer wakker, anderzijds is het besef gegroeid dat veel van deze overlast te voorkomen is met eenvoudige maatregelen - al zijn deze niet altijd goedkoop. Geef je medewerkers een goeie cursus, installeer een firewall, download die laatste patch. Wie van virussen of digitale inbraken last heeft is dom of gierig, of allebei. De voortdurende aanvallen maken zo het systeem sterk. (Je zou haast willen dat er even fanatiek en consequent geprobeerd werd de beveiliging op luchthavens te doorbreken. Dat zou de oplettendheid van de functionarissen daar ten goede komen, en misschien ook wel de budgetten die voor de beveiliging worden uitgetrokken.)

Daarmee zijn de werkelijke cyberterroristen aangewezen: het zijn de computervandalen, die soms uit China komen of uit de Filippijnen, maar meestal uit het rijke Westen, bijvoorbeeld uit de VS, of anders wel uit Sneek. Hun positieve invloed op de computerveiligheid is niet te danken aan enig verantwoordelijkheidsgevoel. Hoe ongeleid sommige van deze projectielen zijn is gebleken in de eerste week na de aanvallen op New York en Washington. 'Hackers' kraakten Afghaanse websites, maakten andere onbereikbaar, en kaapten mailadressen van radicale moslims. Niet dat hier sympathieke mensen of organisaties het moesten ontgelden, maar dit is niets anders dan eigen rechter spelen. De enige bewezen cyberterreur vindt dus plaats door westerlingen, en wekt woede in het oosten.

Terreur met terreur vergelden, zonder dat je zeker weet op wie de vergelding zich moet richten, het staat op hetzelfde niveau als het pesten van moslimmeisjes op weg naar de basisschool. De FBI heeft zich terecht krachtig uitgesproken tegen het cyberterrorisme door particulieren op doelen in het Midden-Oosten, evenals trouwens de Chaos Computer Club, een bekende hackersorganisatie uit Hamburg. Het valt te hopen dat president Bush meer zelfbeheersing en beschaving aan de dag zal leggen dan de computerbarbaren die menen hem met hun acties een plezier te doen.