Verplicht een APK voor iedere PC

JanVanDenBerg_2434Duo

Hoe veilig zijn we eigenlijk, was de vraag op de 172ste diesviering van de TU. Nieuwe technologie biedt mogelijkheden, maar ook bedreigingen. Dat geldt zeker voor internetveiligheid, zegt hoogleraar cybersecurity prof.dr.ir. Jan van den Berg (EWI/TBM). “De tijd van vrijheid blijheid is voorbij.”

U bent in 1977 afgestudeerd, lang voor de komst van internet. Hoe kwam u in de internetveiligheid terecht?
“Voor mij was de belangrijke doorbraak eind jaren negentig toen web 2.0 opkwam. Web 1.0, dat midden jaren negentig ontstond, was passief. Er waren wel websites, maar je kon daar als individuele gebruiker, als leek, geen invloed op uitoefenen want dat was te ingewikkeld. Met web 2.0 kon een gebruiker zelf content op het web zetten. Bedrijven begonnen e-commerce met dynamische content op eigen websites. En ook de sociale netwerksites kwamen toen snel op. Eindgebruikers kregen in de gaten dat ze iets op het web konden doen. Ergens in de afgelopen veertien jaar, na 2000 zeg maar, is de criminaliteit er in gekropen.”

Vorig jaar was een actief jaar voor minder leuke internetactiviteiten. Zoals de KPN-hack, DDOS-aanvallen en de NSA-openbaringen. Is het selectieve waarneming of is er elk jaar meer aan de hand op internet?
“Ik denk dat er steeds meer aan de hand is, en dat het ook niet ophoudt. Eind jaren negentig had niemand het over cybersecurity, toen ging het alleen over informatiebeveiliging. De cyberspace zoals we die nu waarnemen, hadden we nog niet gecreëerd. We hebben onszelf in vijftien jaar tijd totaal afhankelijk gemaakt van ict. We hebben een wereld gemaakt waarin drie miljard mensen permanent aan elkaar vastgeknoopt zitten en waarin ze allerlei activiteiten met elkaar ondernemen. Ze kunnen niet alleen informatie uitwisselen, maar doen financiële transacties, vinden er hun vrienden en soms een geliefde. Bedrijven werken er samen. Alles wat we in de werkelijkheid ondernemen, hebben we ook in de virtuele wereld geplaatst, die daarmee een reële wereld is geworden en waar dezelfde zaken plaatsvinden als in de gewone wereld: diefstal, misleiding, berovingen, pesten. Vergeet niet: er zitten echte criminele organisaties achter. De maffia op internet en dark markets. Daar zijn boekjes over geschreven waar je echt van schrikt.”

Wat bijvoorbeeld?
“Nou, betaalde mensen die daarmee bezig zijn. Je kunt een DDoSi -attack met een botnetii laten uitvoeren. Een botnet kun je voor een paar uur of een paar dagen huren voor een bepaalde prijs. En dan wordt je ook nog verteld hoe je die financiële transactie zo moet doen dat je niet getraceerd wordt. Via een anonieme server kom je daar ook terecht en daar kun je dan zero-daysiii kopen.”

Ergens zitten slimme jongetjes dit allemaal uit te pluizen voor dubieuze bazen?
“Ja, die worden daarvoor betaald. Het is een heel slim netwerk van mensen die elkaar niet kennen. Het zijn natuurlijk ingewikkelde vertrouwensrelaties. Ze zitten anoniem met elkaar te communiceren, maar op het moment dat jij iets bestelt en je krijgt geleverd op betaling, dan ontstaat toch een netwerk waarmee je aan de slag kan. In de werkelijke maffia is de baas bij de gewone mens ook niet bekend. Ik ben er geen expert in, maar ik weet wel dat het ongeveer zo gebeurt. Onze afhankelijkheid van ict neemt alleen maar toe en mijn grootste angst is dat ook de grote infrastructuren steeds meer verweven raken: elektriciteit, wegen, havens, waterwerken en industrie. We hebben een heel ingewikkelde samenleving gebouwd die we zelf niet helemaal meer in de smiezen hebben.”

Het schijnt ook niet zo slim te zijn om alle elektronica in je huis aan internet te hangen. Inclusief je thermostaat, je bewakingssysteem en je koelkast.
“De kwetsbaarheid neemt toe en er ontstaat een verantwoordelijkheidsprobleem. Ik was laatst bij een internet serviceprovider. Die zeggen: vroeger hadden we de verantwoordelijkheid tot het eerste kastje in het huishouden. Daar hing dan een tv aan, een pc en misschien een laptop. Vandaag de dag hangen daar tien, vijftien apparaten aan. En dan kan het zo zijn dat er een van die systemen geïnfecteerd is met malware iv en zich vervelend begint te gedragen. Eigenlijk zou de provider dan het liefst dat ene device willen afsluiten. Maar dat mag niet van de privacywaakhond. Dat is een interessant dilemma en in feite hebben we niet goed vastgesteld hoe de verantwoordelijkheden liggen. De gebruiker zegt: ‘Ja hé, veiligheid. Ik heb een pc gekocht, die moet zelf maar zorgen dat die virusvrij blijft. Ik ga daar niet voor betalen.’ Maar hoezo niet eigenlijk? We moeten toch ook onze auto’s periodiek laten keuren? Iedereen vindt het inmiddels doodnormaal om een bijdrage te leveren aan de veiligheid op de weg. In het digitale domein is het besef er nog niet. De boer moet in het najaar ook zijn sloten schoonmaken om de waterhuishouding op orde te houden voor het algemene belang.”

Wat voor gebruikersverplichtingen bedoelt u?
“Het algemene idee is dat internet een nieuw domein is naast weg, water, lucht en ruimte waar allemaal verkeersregels gelden. Dat is al iets anders dan alleen vrijheid blijheid. Dat kan betekenen dat er verplichtingen komen met betrekking tot software of het gebruik van apparaten. Dat je misschien een jaarlijkse APK verplicht stelt voor je pc.”

In uw intreerede zei u dat honderd procent veiligheid niet bestaat en dat het aan de politiek is om acceptabele risiconiveaus te bepalen. Maar daar heeft de politiek toch geen benul van?
“Als je het zo formuleert is het probleem moeilijk op te lossen, omdat het te groot is. Mijn voorstel zou zijn om per domein de afhankelijkheid van internet in kaart te brengen en daarop risico niveaus vaststellen.”

Aan welke domeinen denkt u dan?
“Nederland heeft via het topsectorenbeleid negen topsectorenv gedefinieerd. Die zijn van belang voor het land en ze zijn allemaal afhankelijk gemaakt van informatietechnologie. Laten we voor die sectoren de risico’s van ict in kaart brengen en op basis daarvan een beleid ontwikkelen en maatregelen ontwerpen. Dat kan deels preventief maar ook detectief – dat is mijn eigen vakgebied. Ik zou graag willen dat we veel preciezer gaan monitoren wat er op internet gebeurt. Eigenlijk wat het NSA doet, maar dan met een helder doel en transparant.”

Een soort verkeerscontrolekamer inrichten?
“Ja, in feite wel. Zo’n cyber security control centre zou uiteindelijk zo moeten fungeren dat zij het overzicht heeft. Wat het NCSC (Nationale Cyber Security Center) nu doet is elk jaar een cyber security beeld presenteren. Dat is een rapport van dertig tot vijftig kantjes waarin wordt verteld wat er het afgelopen jaar gebeurd is. Als ik ze vraag: wat is de situatie in cyberspace nu, dan is er geen antwoord beschikbaar. Hooguit in de financiële sector. Daar houdt een bedrijf als Fox-IT alle financiële transacties realtime in de gaten. Ze proberen afwijkende patronen te onderscheiden. Als dan het gevoel ontstaat dat er iets niet klopt – wat er echt aan de hand is weten ze zelf ook meestal niet, daarvoor is veel domeinkennis nodig – dan waarschuwen ze de bank dat ze er naar moeten kijken. De bancaire wereld is misschien de eerste die cyber situation awareness, goed oppakt.

Denkt u dat er na het NSA-schandaal nog steun te krijgen valt voor zo’n monitoringsprogramma?
“Daar sla je de spijker op zijn kop. Toen ik daar van hoorde dacht ik: het ergste gevolg is nu het wantrouwen in de overheid op dit onderwerp. We hebben alleen vertrouwen in de overheid als die transparant is. En die moet er voor internet net zo goed komen als op het gebied van politie optreden. Als een politieman zich misdraagt, kan hij in de problemen komen. Die mate van transparantie moeten we ook voor de nieuwe domeinen zien te ontwikkelen. Maar zonder monitoring van wat er op internet gebeurt, is het dweilen met de kraan open tegen de cybercriminaliteit. Dan loop je altijd achter de feiten aan. Op het moment dat we die digitale wereld willen, en die willen we allemaal, dan moet je de consequentie nemen. Als je er veilig in wilt opereren, dan moet je ook kunnen monitoren. Dat is mijn boodschap: we moeten leren met het nieuwe vijfde domein om te gaan. Dat hebben we ook met de andere domeinen gedaan toen het eerste vliegtuig vloog en de eerste auto reed. Moest je opeens rechts gaan rijden. Ja hallo, ik mag toch rijden waar ik wil? Ik weet nog dat je een veiligheidsgordel om moest doen. Nou, Nederland was te klein. Of een helm op. We weten inmiddels niet beter.”

Blijf op de hoogte van het onderzoek

Ontvang de Delft Integraal nieuwsbrief 4 keer per jaar