10 januari 2011
De vraag is of echte veiligheid in de IT een haalbaar verhaal is, of een volstrekte utopie. Denken we aan WikiLeaks, Stuxnet, en over de vraag of die beveiligingsdieptepunten van 2010 te voorkomen waren geweest. Nee, denk ik: hadden de betrokken partijen er voor gezorgd dat de nu gevolgde routes waren afgesneden, dan hadden zowel de makers van Stuxnet als de bronnen van Wikileaks wel een andere route gevonden. Stuxnet toont in feite aan dat als een partij het echt wil, er altijd wel ergens een gaatje te vinden is. Stuxnet was een bijzonder professionele aanval, en het is de vraag of daar ooit een kruid tegen gewassen is. Geen bank is honderd procent te beveiligen – de vraag is uitsluitend of de beveiliging goed genoeg is om het aantal overvallen op acceptabele hoogte te houden. Honderd procent veiligheid bestaat niet. Veel lastiger is de vraag die Wikileaks oproept: hoe gaan we om met de mens als zwakste schakel? Voor beveiliging zijn nog zulke prachtige oplossingen te bedenken, maar als de mens in de weg gaat zitten, vindt hij/zij er altijd wel een weg omheen. Iedereen kent het dilemma van de wachtwoorden: als je je gebruikers vaak genoeg dwingt ze te veranderen, gaan ze vanzelf simpele wachtwoorden gebruiken, anders onthouden ze ze niet meer. En als je ze dwingt ingewikkelde wachtwoorden te gebruiken, gaan ze ze opschrijven – anders onthouden ze ze niet meer.
Social engineering is een van de belangrijkste tools van moderne hackers. Zelfs voor Stuxnet is hoogstwaarschijnlijk van dergelijke technieken gebruik gemaakt om bepaalde bedrijven cruciale gegevens te ontfutselen, simpelweg door medewerkers om de tuin te leiden. Maar erger nog is het feit dat de meeste gebruikers van IT geen flauw benul hebben waar ze mee bezig zijn. Ze mogen dan zeer bedreven zijn in de zaken die hun bedrijf groot hebben gemaakt (brood bakken; staal bewerken; mensen managen; communicatie-advies geven), maar het verschil tussen CC en BCC zegt ze helemaal niets. Het is niet voor niets dat botnets onuitroeibaar lijken: de hoeveelheid potentiële slachtoffers dat zonder of met volledig verouderde beveiliging het web op gaat en onbekommerd klikt op alles wat piept en knippert is eindeloos. Hoe elimineer je zwakke schakels zonder de keten te breken? Je kunt ze isoleren: je kunt proberen alles waarmee medewerkers kwaad kunnen doen bij ze weg te houden. Dat is niet realistisch. Mensen moeten hun werk kunnen doen, en voor hun werk komen ze onvermijdelijk in aanraking met informatie die je liever binnen zou houden. Medewerkers gebruiken hun eigen smartphones of Dropbox of andere online services om hun werk mee naar huis te kunnen nemen. Mensen zullen altijd de weg van de minste weerstand volgen. Het meeste effect hebben oplossingen die een minimale impact hebben op het dagelijks werk om zo maximale effectiviteit te bereiken. Neem bijvoorbeeld wachtwoorden: je kunt proberen je medewerkers te dwingen iedere week een ander wachtwoord van 26 willekeurige tekens te kiezen en hun schermen automatisch op zwart zetten zodra ze hun stoel verlaten, maar voor de productiviteit is dat dodelijk. Is veiligheid op dat niveau van belang kijk dan naar biometrische beveiliging: omdat niemand meer iets hoeft te onthouden zijn de gevolgen voor de productiviteit minimaal, en alleen daardoor al is de totale veiligheid meteen een stuk groter. Beveiliging dient altijd standaard aan te staan. Erop vertrouwen dat gebruikers de juiste beveiligingsinstellingen zullen kiezen is naïef. Mensen zijn sterk geneigd niets te doen waar ze geen direct belang bij voelen – dus moet je zorgen dat ze niets hoeven te doen. Kijk naar het verschil tussen Google Chrome en Internet Explorer: in Chrome worden updates standaard automatisch gedownload en ongemerkt geïnstalleerd. Gevolg: vrijwel alle Chrome-gebruikers werken altijd met de meest recente versie. Terwijl er nog steeds hele volksstammen werken met IE6 – niet omdat ze daar bewust voor hebben gekozen, maar omdat ze géén bewuste keuze hebben gemaakt. Het hele internet is ontstaan vanuit een vrijheidsideaal. De vrijheid van informatie en informatievrijheid: prachtige ideeën, die ons meer en meer in de problemen brengen, omdat de huidige gebruikers niet met die vrijheid kan omgaan. Niet vanuit onwil of boosaardigheid, maar door naïviteit, achteloosheid en desinteresse. Geholpen door publieke verontwaardiging over (vreselijke) excessen als kinderporno, en niet gehinderd door al teveel kennis van zaken, zullen vanuit de overheid initiatieven worden ontplooid om het web controleerbaar te maken. Als we dat willen voorkomen, moeten we iets verzinnen om de gebruikers die het hele web onveilig maken op een of andere manier helpen. Dat betekent dat we maatregelen zullen moeten accepteren die door de pleitbezorgers van het vrije internet tot nu toe met kracht van de hand zijn gewezen. Denk aan door hardware ondersteunde en vanuit de cloud aangestuurde collectieve beveiliging, waar iedereen aan bijdraagt. Denk aan providers die onveilige, verdachte of besmette verbindingen kunnen afsluiten. Denk aan de verplichting computersystemen te leveren met geïnstalleerde en ingeschakelde firewalls en andere beveiligingsnormen. Het klinkt draconisch, maar zolang er maar een opt-out in zit, zou het kunnen werken: doe je niets, dan ben je veilig, en als je redenen hebt om dat niet te willen zijn, dan zul je daar bewust voor moeten kiezen.