Alleen de typemachine is veilig

Geschreven door Leendert van der Ent
8 juli, 2014

Een geruststellend verhaal over cyber security horen? Lees dit interview met hoogleraar computerbeveiliging prof. dr. Bart Jacobs van de Radboud Universiteit Nijmegen dan niet. Veiligheidsmaatregelen nemen betekent soms dweilen met de kraan open, maar niets doen is geen optie. Jacobs meent dat het concept 'zorgplicht' de beste verbeteringsstrategie is. Daarmee kunnen bedrijven hun eigen risico's afdekken en zich onderscheiden in de markt.

Bij de ontwikkeling van consumentensystemen lag de nadruk altijd op functionaliteit, niet op beveiliging. Jacobs: “De leuke dingen die je ergens mee kunt, staan vaak op gespannen voet met de nare dingen die ze mogelijk maken. Het motto was: 'ship tomorrow and fix in version five'. Inmiddels gebruiken mensen hun apparatuur zowel zakelijk als privé, waardoor de professionele en consumentenmarkt door elkaar lopen. Dat kan tot problemen leiden.”

Ook de (proces)industrie kent veel kwetsbaarheden, benadrukt Jacobs. “Alles gaat tegenwoordig via SCADA met sensornetwerken. Ook hier was in het ontwerpproces meer oog voor functionaliteit dan voor beveiliging. En als een monteur met zijn laptop op afstand kleppen kan regelen, kunnen hackers dat ook.”

Wake-up call

De affaire Snowden was een 'wake-up call' inzake cyber security. Steeds meer mensen zien, hoe geheime diensten, de georganiseerde misdaad en sommige bedrijven hun voordeel doen met zwakke plekken in computersystemen. De overheid geeft het onderwerp prioriteit – en het bedrijfsleven? Jacobs: “Vanuit de Nationale Cyber Security Raad spreken we regelmatig bedrijfsdirecties. Traditioneel is de houding: 'De afdeling ICT lost het maar op.' Dat kan niet meer. Diverse incidenten bewijzen, dat ICT en privacy het voortbestaan van bedrijven kunnen bedreigen. Data over innovaties moeten heel goed beschermd worden tegen digitale spionage. Het inbreken en downloaden tussen negen en vijf uur Chinese tijd neemt structurele vormen aan – behalve op Chinese feestdagen.”

Op de kaart

Jacobs: “Cloud-diensten maken de kwetsbaarheid nog veel groter. Daarom is het belangrijk Nederlandse cloud-diensten te hebben. Een structurele oplossing heb ik niet; het enige dat we kunnen doen is het probleem op de kaart zetten. Elke pc valt te kraken. Door geheime diensten ontwikkelde inbraaktechnieken zijn uitgelekt naar hackers. Bedrijven hebben gevoelige gegevens op aparte, losgekoppelde netwerken staan, maar dat helpt niet tegen USB-sticks.”

Wanprestaties

Behalve het probleem aankaarten wil Jacobs wanprestaties openbaren. Jacobs: “Vijf jaar geleden hebben we de zwakheden van de OV-chipkaart aangetoond. Diezelfde verouderde chip zit overigens nog steeds in toegangscontrolesystemen van kerncentrales en banken.” Later volgden de ABN-AMRO random reader en slecht beveiligde autosleutels. Jacobs: “We hanteren een 'responsible disclosure'-benadering. We melden bevindingen eerst bij de probleemeigenaar. Die helpen we desgewenst bij het vinden van een oplossing. Vervolgens publiceren we onze bevindingen met vertraging. Niet iedereen waardeert die zorgvuldigheid, helaas. Sommigen menen dat openheid funest is, maar het ongekeerde is het geval.”

Zorgplicht

Jacobs denkt dat het verder invullen van de zorgplicht van bedrijven de juiste weg is. “Banken moeten tegenwoordig hun klanten wijzen op de risico's van hun producten. Hard- en softwareleveranciers zouden een vergelijkbare verplichting moeten hebben”, geeft Jacobs aan.

Voor installateurs van toegangssystemen betekent dat volgens hem: ingekochte systemen testen op de deugdelijkheid van gebruikte chips. “Als wij iets onderzoeken, denken we vaak: 'hier zal de maker toch wel over nagedacht hebben?' - nee dus. Volgens mij biedt het onderscheidend vermogen in de markt om dat wel te doen. Mijn advies: haal cyber security-expertise in huis en toon je klanten dat je hun belang dient door kritisch in te kopen.”

Adapt or perish

“Er is een enorme 'installed base' van kwetsbare systemen, die eigenlijk aangepast moeten worden”, weet Jacobs. “Voor nieuwe systemen gaat de markt 'security & privacy by design' eisen. Het is 'adapt or perish'. Bedrijven die dat goed voor elkaar hebben, zullen de markt pakken.”

Aanvullende links

Fat, Dumb, Happy & Under Surveillance: Bart Jacobs at TEDxRadboudU 2013

RTL Z: Paleis van Jusititie en Croon