Bruce Schneier: Veiligheid bestaat niet

Hij ontwikkelde onder meer twee veelgebruikte encryptiealgoritmes, blowfish en twofish. In 1999 richtte hij Counterpane Internet Security op, dat zich richtte op managed security services. Counterpane werd medio 2006 overgenomen door BT.
“Absolute veiligheid kan ook niet je doel zijn. Daarin maak je afwegingen. In de VS sterven jaarlijks tienduizenden mensen in het verkeer. Er worden geen maatregelen genomen om dat aantal flink te verkleinen. Blijkbaar vinden we dat een redelijk aantal. Dat geldt ook in de IT. Er zal altijd fraude zijn. Maar het gaat op deze manier kennelijk prima.” Niettemin is Schneier ervan overtuigd dat de toename van digitale criminaliteit nu zo groot is, dat gebruikers op een keerpunt staan. “We staan nu op het punt dat mensen kunnen beslissen dat ze stoppen met webwinkelen en internetbankieren. Als de criminaliteit nog erger wordt, kunnen ze daar heel goed toe overgaan. Er zijn nu grote verliezen geleden, mensen zijn al hun spaargeld kwijt geraakt door scams. Ik weet niet wat er nog voor nodig is om het te laten omslaan. Menselijke reacties zijn niet helemaal te voorspellen. Het kan ook heel goed de andere kant op gaan.” Dat er geen volledige IT-beveiliging is, ligt volgens Schneier niet aan de technologie. “De technische oplossingen zijn er. Het probleem ligt echter bij de implementatie, bij het pas na drie maanden updaten, bij de menselijke interface: bij de manier waarop het gebruikt wordt dus.”
Schneier is nu verbonden aan BT als CTO voor BT Counterpane en functioneert deels als ‘evangelist’ maar is ook sterk betrokken bij onderzoek. “Ik trek veel pers voor ze, help nu en dan in verkooptrajecten en ik doe research, wat ik echt cool vind trouwens.” En wat hij als onderzoeksgebied momenteel ‘heel cool’ vindt, is de samenhang tussen psychologie en beveiliging. Daarbij gaat hij uit van het motto ‘Security is both a feeling and a reality. And they’re not the same.’
IT-beveiligers schermen nogal eens met dreigingen van wormen, lekken, phishingaanvallen en allerhande malware. Schneier beaamt dat hierbij ingespeeld wordt op angsten om maar te kunnen verkopen. “Wil je iets verkopen, dan moet je inspelen op angst of hebzucht. Dat gaat niet bij beveiligingsproducten, dat is een fundamenteel probleem voor beveiligers. Net als bij verzekeringen zien klanten geen noodzaak om het aan te schaffen. Is er een jaar niets gebeurd, wordt het argument dat ze dus niets nodig hebben. Je moet de pijn en de angst gevoeld hebben om het te gaan kopen. Ik weet niet of dat anders moet. Ik kan daar om filosofische redenen tegen zijn, maar angst verkoopt wel.” Maar niet oneindig. “Al die berichten over dreigingen zijn uiteindelijk niet effectief. Als het steeds maar niet gebeurt, interesseert het je niet meer. Dan schiet de industrie zich in de voet. Aan de andere kant is het heel moeilijk als leverancier om niet op die angst in te spelen, want hij wil immers verkopen.”
Tegelijkertijd levert de beveiligingsindustrie producten die gebruikers onterecht het gevoel geven dat ze veilig zijn, omdat ze niet goed beveiligen. “Dat is niet uitzonderlijk. Hebben we niet allemaal firewalls geadviseerd, terwijl die uiteindelijk weinig hielpen? En antivirussoftware, wat ook niet heel veel heeft geholpen? Aan de andere kant zie ik heel goede producten die niet gekocht worden. Dat wordt allemaal anders door outsourcing. Zakelijk gebruikers zijn het moe dat ze met producten en diensten bestookt worden die niet werken. Zij zeggen in toenemende mate: ‘Zorg maar dat het veilig werkt en bespaar me de details.’ Dat is een grote verandering. Toen wij met Counterpane startten, mochten we niet eens in de buurt van de netwerken van onze klanten komen. Geleidelijk aan veranderde dat en vróegen ze het ons zelfs. Nu willen ze zelfs niets meer met het netwerk te maken hebben: we moeten maar zorgen dat het werkt.” Outsourcing van IT-beveiliging komt vooral op bij bedrijven met een grootte net onder de enterprises, merkt Schneier. “Die heel grote organisaties kunnen het zelf, die er net onder niet. Die moeten wel gaan outsourcen.”

/t.vrede@sdu.nl

Papier voor ov beter dan chip
Schneier heeft zich bij zijn bezoek aan Nederland verbaasd over de problemen met de OV-chipcard. “Het verbaast me echt niet dat zo’n chip binnen een week door studenten gekraakt kan worden. Alles is te kraken. Ik kan de Nederlandse overheid alleen maar adviseren iemand in te huren die het écht kan! Complexiteit is de grootste barrière voor beveiliging. In de VS is het kaartjessysteem op papier gebaseerd en dat werkt uitstekend.”
Maar aangezien er al miljarden zijn geïnvesteerd, lijkt het hem beter dat de overheid het systeem nu goed aanpakt en afrondt.
“Iedereen kan een beveiligingssysteem bouwen dat hij niet zelf kan kraken. Maar wie zijn dat nou helemaal? Als je niet een beveiligingsdeskundige bent, betekent zo’n bewering niets! Ik zou daarvoor geen bedrijf inhuren, maar kundige individuen. Hun betrouwbaarheid en expertise kun je trouwens niet meten. Dat is toch een kwestie van vertrouwen. Maar beveiliging is sowieso niet te meten. Daarom is het ook zo moeilijk.” De Nederlandse overheid kan overigens zo terecht bij Schneier. “Ik weet zo al twintig goede mensen. Ik zou het zelf ook kunnen doen trouwens!”