1. Hoe bang moet je zijn nu computercriminaliteit zwaar georganiseerd is en steeds meer en geavanceerder toeslaat?Bang zijn? Waarom zou je bang zijn?
| Bruce Schneier Leeftijd: 46 jaar Functie: chief security technology officer bij BT Context: Bruce Schneier is een goeroe op het gebied van IT-beveiliging. Hij was in Nederland voor het congres van GOVCERT.NL, waar onder meer geconcludeerd werd dat overheden grote moeite hebben de computercriminaliteit te bestrijden. |
Criminaliteit is er al sinds het begin der tijden. Je wordt ook niet vermoord op internet. Dat is veel erger. Bovendien is angst geen goede reactie. Slim zijn, daar draait het om. Dat geldt ook voor de echte wereld. Als je intuïtief te werk gaat op het net, dan gaat het goed. Kinderen bijvoorbeeld weten het heus wel als er iets niet in de haak is op een website.
Alleen onervaren gebruikers lopen gevaar. Ze weten dingen niet. Je hebt op het net een goede bullshitdetector nodig. Alleen oudere, eenzame, beginnende gebruikers trappen in scams. Iedereen onder de 30 weet toch wel inmiddels welke risico’s je loopt op internet. En op het net is het grotendeels veilig, net als in de echte wereld. Wij beveiligers denken altijd alleen maar aan de bedreigingen die mogelijk zijn. Zo gaat dat niet met de rest van de mensen. Je kunt niet leven als je altijd maar bang bent. Het net is niet perfect, maar het is ook weer niet heel slecht. Anders was het er nu echt niet meer.
2. Kan de georganiseerde computercriminaliteit worden verslagen?
Op dit moment is er geen oplossing. Dit is een omgeving waarin de slechterikken de bovenhand hebben. Men is niet in staat hen op te sporen en dat blijft voorlopig wel zo. We wonen in een wereld waarin je je het beste kunt verdedigen door in een fort te gaan wonen. Er zijn bijna geen consequenties voor computercriminelen. Wat je kunt doen, is zorgen dat jij niet het makkelijkste doelwit bent door je beter te beveiligen dan je buurman. Net als in de echte wereld. Criminelen zijn niet op bepaalde personen uit. Ze zoeken gewoon slachtoffers, maakt niet uit wie dat is.
Dat criminelen steeds specifieker te werk gaan en gericht inzoomen op bepaalde groepen slachtoffers is wel gevaarlijk. Misschien stopt iedereen straks wel dingen te kopen op het net. Wie weet. Dat zou interessant zijn, want veel op het internet is gebaseerd op advertentieverkoop. Het zou grote gevolgen kunnen hebben. Maar het is er niet slecht genoeg voor. Je raakt niet per definitie je geld kwijt.
3. Falen de overheden hierin?
De overheid kan dit nu niet aan. Er is internationale samenwerking nodig. Alleen de law enforcement kan cyberspace veilig maken. Niemand anders. President Obama zal binnenkort een cybersecurity-coördinator benoemen. Maar wie dat wordt, is geheel onduidelijk. En het duurt al enige tijd want zijn komst is al maanden geleden aangekondigd. Wat die coördinator vervolgens kan bereiken, hangt vooral af van de macht die hij krijgt. En bij macht moet je vooral denken aan budget. En in deze tijden..
4. Helpen de inspanningen van de IT-beveiligingsindustrie hierbij?
De industrie doet niet zoveel. Ja, de antivirusindustrie deelt wel kennis over aanvallen en dreigingen en dat is prima, maar dat is wel het enige. Verder wordt er maar bitter weinig gedeeld. Daar zijn vele pogingen voor gedaan, maar vergeefs. Wat nodig is, is dat er coherente namen gevonden worden van de daders. Daarvoor moet de overheid instappen. Die moet gewoon met wetten de informatie uit al die beveiligingsbedrijven en ISP’s persen.
5. Wat is uw favoriete beveiligingstechnologie?
Die heb ik niet. Eindgebruikers raad ik aan antivirussoftware te gebruiken maar vooral vaak back-ups te maken. Het grootste risico is verlies van je gegevens. Dat verklein je aanzienlijk met back-ups.
Veel technologieën gaan over tactieken en die veranderen steeds. Zakelijk gebruikers kunnen wat mij betreft alle beveiligingstechnologieën missen. Ja, er is nu antimalware op basis van reputatieherkenning. Dat zal best werken. En op basis van gedrag. Maar er zijn zoveel technologieën. De belangrijkste beveiligingstechnologie is het eigen brein. Aanvallers gaan achter mensen aan. Je verstand gebruiken is daarom van het grootste belang voordat je iets doet op internet.
M
| 30 oktober 2009 | 12:39
Q1: 1. Hoe bang moet je zijn nu computercriminaliteit zwaar georganiseerd is en steeds meer en geavanceerder toeslaat?Bang zijn? Waarom zou je bang zijn?
A1: "Als je intuïtief te werk gaat op het net, dan gaat het goed. Kinderen bijvoorbeeld weten het heus wel als er iets niet in de haak is op een website. ".
Dit is onjuist. Doordat er vele praktische attacks zijn welke je helemaal niet merkt voordat het te laat is, is intuitie onvoldoende.
Q2: "Kan de georganiseerde computercriminaliteit worden verslagen?"
A2: "Op dit moment is er geen oplossing.".
Dit is onjuist. Als de onbeveiligde en beveiligde domeinen strict gescheiden worden, dan is er echte veiligheid te bereiken. Dit kan met gratis middelen bereikt worden.
Q3. Falen de overheden hierin?
A3: "Alleen de law enforcement kan cyberspace veilig maken."
Dit is onjuist. Ook technoligsche en organisatorische maatregelen kunnen dat.
Q4. Helpen de inspanningen van de IT-beveiligingsindustrie hierbij?
A4: "De industrie doet niet zoveel."
Dit is onjuist, want de industrie leverd nu reeds allle benodigde oplossingen. Bovendien is heel veel goede beveiligingssoftware gewoon gratis verkrijgbaar en te downlaoden, zie bijvoorbeeld http://www.gpg4win.org/ en http://www.wuala.com/FreemoveQuantumExchange/Downloads/ Het zijn met name de gebruikers welke nu aan zet zijn.
Q5. Wat is uw favoriete beveiligingstechnologie?
A5: Die heb ik niet.
PGP is overduidelijk de wereldstandaard voor veilige uitwisseling van EMail en Documenten.
Conclusie: Ik krijg sterk de indruk dat hier een subjectief iemand de antwoorden geeft beinvloed door de commerciele belangen van BT.