Te wapen tegen virussen

Tegen virussen en onwetendheid

Herbert Blankesteijn

In augustus las ik op internet over een merkwaardig wetsvoorstel in Amerika, gelanceerd door senator Torricelli (D, NJ). Hij wilde in zijn 'School Website Protection Act of 2001' het hacken van websites van scholen strafbaar stellen met maximaal tien jaar gevangenisstraf.

Het rare van dit wetsvoorstel zit in verschillende aspecten. In de eerste plaats betreft het alleen scholen. Wat is dat voor iets raars? Als je een wet bedenkt die de veiligheid van computers moet bevorderen, is het vreemd om de werking zo te beperken.

Een tweede eigenaardigheid zit in de omschrijving van de strafbaar te stellen daden: '...knowingly causes the transmission of a program, information, code, or command, and as a result of such conduct, intentionally affects or impairs without authorization a computer of an elementary school or secondary school or institution of higher education'. Ik ben niet de eerste die vaststelt dat elk mailtje naar een computer van een school deze computer 'beïnvloedt' (affects), en dat het sturen van een mailtje dus strafbaar zou zijn onder de voorgestelde wet. De wet van Torricelli zit nog in de pijplijn en je kunt alleen maar hopen dat hij tijdig onschadelijk wordt gemaakt, want de Amerikaanse wetgever heeft een dubieuze reputatie als het gaat om wetgeving op digitaal gebied. Wie herinnert zich niet de Communications Decency Act, die digitaal onfatsoen verbood maar op gespannen voet bleek te staan met het First Amendment, ofwel de vrijheid van meningsuiting.

Oorzaak van dergelijke wrakke wetgeving is de opzettelijke onwetendheid van veel politici op computergebied. Dát zou strafbaar moeten zijn.

Het grootste hiaat als het gaat om wet- en regelgeving inzake computergebruik is, ook in Nederland, de bestrijding van virussen. De schade door virussen begint gierend uit de hand te lopen. Het verspreiden van virussen is strafbaar volgens de Wet Computercriminaliteit, maar ook de rechterlijke macht weet nog niet waarover het gaat, getuige de belachelijk lichte straf die de maker van het Anna Kournikovavirus onlangs heeft gekregen: 150 uur dienstverlening. De maker van het 'Smeg'-virus, dat lang niet zoveel spektakel heeft veroorzaakt als het Sneker virus, kreeg in 1995 van de Britse rechter anderhalf jaar cel. En Robert Morris, de jongeman die in 1989 vanuit de VS het 'Internet Virus' losliet en zo het hele toenmalige internet liet vastlopen, kreeg drie jaar.

Bedrijven, overheden en instellingen moeten veilig gedrag aan de computer mogelijk maken én eisen. Dat kan in de eerste plaats door het beschikbaar stellen van behoorlijke, door onafhankelijke adviseurs aanbevolen software. Veel software die vrijwel standaard op pc's wordt geïnstalleerd is bewezen onveilig. In de tweede plaats moet het 'voetvolk' op de pc zich aan regels houden, bijvoorbeeld overleg met de afzender voor het openen van een attachment. Dit is hinderlijk omdat het tijd kost, maar de gevolgen van het onverhoopt openen van een virus zijn te ernstig om het risico te nemen. Als een bedrijf dergelijke regels en het belang ervan duidelijk aan het personeel kenbaar maakt, kan het maatregelen nemen als ze blijkbaar niet zijn nageleefd. Het is denkbaar dat een employé dan wordt geschorst, ontslagen of aansprakelijk gesteld, zoals je ook zou doen met iemand die een loopje neemt met de brandveiligheid.

Er zijn verschillende initiatieven voor 'computerrijbewijzen', die tot nu toe weinig waarde hebben voor sollicitanten. Wanneer in de opleiding hiervoor gedegen viruskennis prioriteit krijgt (dat is nu niet het geval) en het bijbehorende papiertje verplicht wordt gesteld, krijgt zo'n rijbewijs eindelijk betekenis. En waarom zou je van particulieren niet eisen dat ze een computer veilig kunnen bedienen? Dat eis je toch ook als ze gaan autorijden, of een vuurwapen willen bezitten? Een computer hoor je alleen te kunnen kopen op vertoon van een diploma.

Andere geledingen van de maatschappij kunnen een bijdrage leveren. Verzekeringen kunnen computerschade door virussen verzekeren bij rechtspresonen die voldoende van de hierboven genoemde maatregelen hebben ingevoerd. Internetaanbieders kunnen de mail van privégebruikers scannen op virussen. Hoewel sommige providers anders beweren is het briefgeheim hier niet relevant. Mail scannen op virussen onthult niets over de verdere inhoud; het is te vergelijken met het gesnuffel van een hasjhond aan een koffer. Providers hoeven geen garanties te geven maar kunnen en moeten hun centrale positie en expertise gebruiken om de verspreiding van virussen in de kiem te smoren.

Een verantwoordelijke overheid zorgt voor wetten die zoveel mogelijk van het bovenstaande formaliseren. Waar blijft de regering, waar blijven de Kamerleden met hun wetsvoorstellen? En als ze dan toch bezig zijn, laten ze dan meteen voor zichzelf dat computerrijbewijs verplicht stellen, want anders weten de meeste niet waar ze het over hebben.