Het waren niet de hackers

Herbert Blankesteijn

Als zich ergens een opvallend computerprobleem voordoet, wordt altijd in eerste instantie de schuld gegeven aan virussen en/of hackers en/of cyberterroristen. En dat terwijl bekend is dat tweederde van de problemen met beveiliging van binnenuit wordt veroorzaakt. Bijvoorbeeld door water.

Dezer dagen kunnen Nederlanders in den vreemde hun stem voor het Europarlement uitbrengen via internet. Er is kritiek geweest op de beveiliging hiervan, onder andere van het Electronic Highway Platform Nederland (EPN), een onverdachte organisatie die erg vóór digitalisering van overheidswerk is. Een van de punten van kritiek was dat er onvoldoende rekening is gehouden met fraude van binnenuit. Ook de recente kritiek op de stemmachines van het Amerikaanse bedrijf Diebold betrof voor een belangrijk deel de mogelijkheid dat ambtenaren of medewerkers van Diebold zelf de uitslagen zouden kunnen manipuleren.

De moeilijkheid met dit genre veiligheidsproblemen is, dat er meestal weinig over bekend wordt. Als een bedrijf of instantie te maken krijgt met computermisdaad van binnenuit, hangen ze het liever niet aan de grote klok. Wel zijn er verschillende voorbeelden bekend van ex-werknemers die inbreken in het systeem van hun vroegere werkgever. Ze hebben dan vaak nog toegangscodes of in elk geval kennis van het systeem. In dergelijke gevallen wordt makkelijker aangifte gedaan.

De eigen medewerkers van een bedrijf zijn op nog een andere manier een veiligheidsrisico. Voormalig meesterhacker Kevin Mitnick heeft in zijn recente boek 'The Art of Deception' vele manieren uitgelegd waarop je door social engineering - opbellen, langsgaan, slimme vragen stellen, mensen leren kennen, je voordoen als een collega in een andere vestiging - het vertrouwen kunt winnen van mensen binnen het bedrijf en op den duur de beschikking kunt krijgen over gevoelige informatie als wachtwoorden.

Dit soort sleutelgegevens kan op nog een andere low-tech manier worden bemachtigd. Op verschillende websites staat een artikel met als titel 'Identity Theft - The Real Cause'. Daarin wordt gesteld dat slechts 14 procent van de vuilnisbakken géén nuttige informatie bevat voor fraudeurs. Er zijn altijd wel weggegooide brieven, acceptgirokaarten en ander papieren met persoonlijke informatie bij. Het artikel poneert dat in Amerika daklozen worden ingehuurd om afval te doorzoeken op persoonlijke informatie. De fraudeurs kunnen zich dan bijvoorbeeld onder een valse identiteit bij banken melden en rekeningen openen, rood gaan staan en met de noorderzon vertrekken. Geen computer nodig, al loopt die wel een goede kans de schuld te krijgen. Eens in de zoveel tijd blijken ook gevoelige bedrijfsgegevens letterlijk op straat te belanden, of op gebruikte computers te blijven staan wanneer die worden verkocht. In 2002 bleek de FBI zelf 400 laptops kwijt te zijn.

Ook in het geval van de blackout in New York en omstreken op 14 augustus 2003 werd aanvankelijk ten onrechte gedacht aan een virus. In de voorafgaande weken had 'Slammer' huisgehouden dus het vermoeden was begrijpelijk, maar er bleek sprake van een verbazingwekkende cocktail van menselijke fouten, ontwerpfouten en achterstallig onderhoud. En in mei publiceerde het bedrijf NetBotz een onderzoek waaruit zou blijken dat de helft van alle mission critical computerproblemen te voorkomen zou zijn met voorzieningen als rook- en vochtmelders. Nu is NetBotz een bedrijf dat dit soort apparatuur verkoopt, maar het kost Beet weinig moeite de bewering te geloven. Kijk [LINK: http://www.theregister.co.uk/2002/10/18/the_worlds_most_dangerous_server/] maar eens naar de collectie onverantwoord ingerichte serverruimten, die The Register heeft verzameld. Daar is de koeling onverantwoord, of is de bedrading zodanig chaotisch dat niemand er aan durft te komen. Daar druppelt condens uit de airconditioning in een emmer boven de servers, loopt de vloer onder als het belendende toilet overstroomt, en daar staan bloempotten op monitors.

Gezien het bovenstaande komt Beet tot de Leidend Principe van Waarheidsvinding bij Rampen: Virussen of hackers komen als oorzaak pas in aanmerking als alle andere mogelijkheden zijn uitgesloten.