Campagne nodig tegen computervirussen
Herbert Blankesteijn
De maker van het Anna Kournikovavirus is eind september veroordeeld tot 150 uur dienstverlening. In aanmerking genomen de schade en de opschudding die hij in februari heeft veroorzaakt, is dit een veel te lichte straf; de maximumstraf was vier jaar cel. Het virus heeft over de hele wereld e-mailsystemen verstopt en daarmee bedrijfsvoering bemoeilijkt. Bedrijven moesten hun servers stilleggen. Honderdduizenden pc's raakten besmet en moesten op non-actief om te worden hersteld. De directe kosten van het ontsmetten zijn te ramen op enkele tientjes per computer, dus vele miljoenen. De schade door verloren tijd kan alleen maar met de natte vinger worden geschat en is waarschijnlijk een orde van grootte hoger.
Het is absurd dat deze mate van vandalisme wordt afgedaan met wat praktisch gesproken niet meer is dan een standje. De rechter heeft laten meewegen dat de verdachte zichzelf heeft aangegeven, geen bekende was van justitie en oprechte spijt heeft betuigd. Het is de vraag of iemand die met explosieven zo'n ravage zou aanrichten er even makkelijk vanaf zou komen. Er zijn overigens buitenlandse precedenten: de maker van het 'Smeg'-virus, dat lang niet zoveel spektakel heeft veroorzaakt als het Sneker virus, kreeg in 1995 van de Britse rechter anderhalf jaar cel. En de jongeman die in 1989 vanuit de VS het 'Internet Virus' losliet en zo het hele toenmalige internet liet vastlopen, kreeg drie jaar.
Computervirussen zijn een dagelijks ongemak geworden - zoiets als regen. In de voorbije maanden hebben virussen als Magister, Sircam en Nimda verderf gezaaid. Het ongemak en de schade die ze veroorzaken worden langzamerhand geaccepteerd. Maar anders dan het weer is dit verschijnsel door menselijk ingrijpen te beïnvloeden. Dan moeten wel verschillende geledingen van de maatschappij zich daar serieus voor inzetten. Uitgangspunt moet zijn dat schade door computervirussen juist veel te groot is om acceptabel te zijn.
Makers van software moeten geen programma's maken die de loper voor virussen uitleggen. Macro's in kantoorsoftware en scripts in mail en webpagina's kunnen, buiten de gebruiker van een computer om, de meest ingrijpende dingen doen: van het versturen van e-mail tot en met het veranderen van bestanden op de harde schijf. Scripts en macro's zijn ooit bedacht om handelingen te automatiseren en daarmee voor gemak en dus kostenbesparing te zorgen, maar dat kan niet meer. Gemak zorgt door onveiligheid weer voor kosten, en daarom gaat veiligheid boven gemak. Onderdelen als macro's en scripts moeten óf in hun mogelijkheden worden beknot (in het programmeren van een tekstfragment onder een toetscombinatie schuilt geen kwaad) óf ze moeten worden gekoppeld aan bevoegdheden op een computer of een netwerk, en de bevoegdheden op hun beurt aan een bepaald niveau van kennis. Het is te dol dat je op het ogenblik (althans in Windows) door het zetten van een vinkje of het klikken op 'OK' degelijke onderdelen kunt aanzetten.
Daarmee kom ik op de rol van bedrijven. Bedrijven, overheden en instellingen moeten veilig gedrag aan de computer eisen. Dat kan in de eerste plaats door het beschikbaar stellen van behoorlijke, door onafhankelijke adviseurs aanbevolen software. In de tweede plaats moet het 'voetvolk' op de pc zich aan regels houden. Voor een deel kunnen deze regels worden afgedwongen. Het is op sommige netwerken bijvoorbeeld onmogelijk programma's uit te voeren vanaf diskette. Deze maatregel dateert uit het tijdperk vóór internet, toen virussen zich vooral voortplantten via programma's op diskette. Andere regels moeten gedragsregels zijn, bijvoorbeeld overleg met de afzender voor het openen van een attachment. Dit is hinderlijk omdat het tijd kost, maar de gevolgen van het onverhoopt openen van een virus zijn te ernstig om het risico te nemen. Als een bedrijf dergelijke regels en het belang ervan duidelijk aan het personeel kenbaar maakt, kan het maatregelen nemen als ze blijkbaar niet zijn nageleefd. Het is denkbaar dat een employé dan wordt geschorst, ontslagen of aansprakelijk gesteld, zoals je ook zou doen met iemand die een loopje neemt met de brandveiligheid.
Computergebruikers moeten weten wat voor schade ze kunnen aanrichten en hoe ze die kunnen voorkomen. Teveel pc-werkers vertikken het zich in de werking van hun voornaamste gereedschap te verdiepen. Dat kan niet meer. Een fotograaf die niets wenst te weten van lenzen en films is een slechte fotograaf. Maar een computergebruiker die geen belangstelling heeft voor zijn professionele apparatuur, is een gevaar voor zijn werkgever en voor de buitenwereld. Er zijn verschillende initiatieven voor 'computerrijbewijzen', die tot nu toe weinig waarde hebben voor sollicitanten. Wanneer in de opleiding hiervoor gedegen viruskennis prioriteit krijgt (dat is nu niet het geval) en het bijbehorende papiertje verplicht wordt gesteld, krijgt zo'n rijbewijs eindelijk betekenis. En waarom zou je van particulieren niet eisen dat ze een computer veilig kunnen bedienen? Dat eis je toch ook als ze gaan autorijden, of een vuurwapen willen bezitten? Een computer hoor je alleen te kunnen kopen op vertoon van een diploma.
Een speciale rol is misschien weggelegd voor verzekeraars. Er zijn in het buitenland al verzekeringen die premiekorting geven op een autoverzekering als de verzekerde zich aan de snelheidslimieten houdt (en dit wordt met GPS permanent gecontroleerd). Evenzo kunnen verzekeringen computerschade door virussen verzekeren als voldoende van de hierboven genoemde maatregelen zijn ingevoerd.
De internetaanbieders mogen niet ongenoemd blijven. Over hun rol is kort geleden een discussie gevoerd. Zij kunnen de mail van hun gebruikers scannen op virussen, en sommige doen dat ook. Degene die dat niet doen, beroepen zich op het briefgeheim: de postbode kijkt niet in de post die hij moet bezorgen. Dit argument raakt kant noch wal en komt voort uit een extreme privacy-ideologie. Mail scannen op virussen onthult niets over de verdere inhoud; het is te vergelijken met het gesnuffel van een hasjhond aan een koffer. Voor providers weten dat veel klanten te weinig tegen virussen doen. Het beschikbaar stellen van antivirussoftware is onvoldoende; als de abonnees dat al installeren, verversen ze de virusgegevens niet vaak genoeg. Providers hoeven geen garanties te geven maar kunnen door hun centrale positie en expertise de verspreiding van virussen in de kiem smoren. Een provider die de mail niet scant, gedraagt zich onverantwoordelijk.
Een verantwoordelijke overheid zorgt voor wetten die zoveel mogelijk van het bovenstaande formaliseren. Waar blijft de regering, waar blijven de Kamerleden met hun wetsvoorstellen? Eén wet die meer veiligheid kan opleveren is er al. Dat is de wet Computercriminaliteit, op grond waarvan de maker van het Kournikovavirus is veroordeeld. Het sluitstuk van het geheel is dan de rechterlijke macht, die overtredingen bestraft. Maar als een straf niet in overeenstemming is met de ernst van het vergrijp, valt een wet niet serieus te nemen.