Nederland laks met beveiligen systemen

13 januari 2000
Nederland heeft geen adequaat plan voor het voorkomen en bestrijden van rampen die zich binnen de ICT-infrastructuur kunnen voordoen.

Deze alarmerende conclusie kan worden getrokken na enig onderzoek onder Nederlandse deskundigen op dit terrein. Terwijl de Amerikaanse overheid deze week plannen presenteerde om honderden miljoenen dollars te besteden aan de beveiliging van zijn ICT-infrastructuren, gebeurt er in Nederland weinig op dit terrein.
„Drie belangrijke beleidsdocumenten van eind vorig jaar noemen in de zijlijn het belang van de bescherming van de infrastructuur. Niet een komt echter met concrete aanbevelingen”, constateert Eric Luiijf, programmaleider van het TNO-brede Informations Operations, ofwel ’Cyberware’-onderzoek. Hij doelt op de nota ’Digitale Delta’ van Economische Zaken, de defensienota en het rapport ’Nederland, let op uw saeck’ van de Raad voor Verkeer en Waterstaat.
De afdeling van Luiijf bestudeert onder meer voor het ministerie van Defensie de beveiliging van de informatiestromen in vredes-, crisis- en conflictoperaties.
Bij de rampenbestrijding na een grootschalige aanval op de Nederlandse informatie-infrastructuur zijn zes tot zeven ministeries betrokken. Wie echter de verantwoordelijkheid heeft, is niet altijd duidelijk, volgens Luiijf. „In Nederland bestaat geen centraal meldpunt waar incidenten en bedreigingen van informatiesystemen worden geregistreerd en gemeld aan maatschappelijk belangrijke organisaties. Er zijn wel Computer Incident Respons-teams, maar coördinatie en visie door de overheid, zoals in de VS, komen hier nog niet van de grond.”

VVD-parlementariër Hella Voûte vindt de conclusie zorgwekkend: „Terwijl Internet is opgezet met het idee dat bij problemen andere delen van het netwerk de taak overnemen, zijn we nu beland in een situatie waarbij door domino-effecten de maatschappij makkelijk ontwricht kan worden. Niet alleen de kwetsbaarheid van defensiesystemen verdient aandacht, maar ook de mogelijke ontwrichting van de economie door dergelijke aanslagen.” Voûte vindt dat op korte termijn een ’centraal meldpunt computer’ moet worden opgezet.
Haar collega van de PvdA Marja Wagenaar wil de problematiek aankaarten bij de behandeling van de Wet Computercriminaliteit. „Er gebeurt te weinig op dat gebied en er is weinig deskundigheid. Het probleem moet met spoed in Nederland, maar ook in EU- en Interpol-verband worden aangepakt.”
Bovendien zou het wetenschappelijk onderzoek zich , net als in de Verenigde Staten, moeten toeleggen op het veiliger maken van informatiesystemen. „Op de Nederlandse universiteiten wordt weinig gedaan aan computerbeveiliging in de opleidingen. Dan is er vanzelfsprekend ook weinig aandacht voor onderzoek in die richting”, zegt Hans Schoone, computerbeveiligingsspecialist bij Consult Risk Management. Schoone is voormalig student van de Rotterdamse professor Herschberg die vermaard was op het gebied van computerbeveiliging. „Na zijn emeritaat is er in Nederland geen echt onderzoekscentrum meer op dit terrein.”

Professor Neijssing, directeur bij KPMG, betreurt de geringe wetenschappelijke belangstelling voor het probleem. „Op de jaarlijkse beveiligingsconferentie van de IEEE in Oakland worden vele presentaties gehouden over fundamenteel onderzoek naar veilige software, chips en programmastructuren. In Nederland doen alleen bedrijven toegepast onderzoek naar veilige implementatie van bestaande software.”
Beveiliging infrastructuur


De kwetsbaarheid van computersystemen werd deze week weer pijnlijk duidelijk. Een hacker publiceerde 25.000 gestolen creditcardnummers, nadat de online-platenzaak waar de nummers waren ontvreemd, niet bereid was op zijn afpersingspraktijken in te gaan.
Eerder, tijdens de Balkanoorlog, zijn systemen van de Amerikaanse overheid platgelegd, doordat tegenstanders van de Amerikaanse inmenging in het conflict de sites bombardeerden met berichten.

Kwetsbaarheid
Luiijf heeft bewondering voor de manier waarop in de VS de problematiek voortvarend wordt aangepakt. Uit onderzoek naar de risico’s en kwetsbaarheid van de kritische infrastructuren (PCCIP-studie) bleek een grote afhankelijkheid te bestaan tussen de verschillende ketens zoals energievoorziening en allerlei controlesystemen. „Clinton heeft nu een breed en coherent programma met een goede visie uitgezet om de computerbeveiliging aan te pakken. Het wordt zwaarder aangezet dan het millenniumprobleem.” Overigens werken ook andere landen zoals Zweden, het Verenigd Koninkrijk, Duitsland, Singapore en Australië aan de bescherming van hun kritische informatie-infrastructuren.

Oorlogsmisdadiger
Uit een studie van TNO-FEL samen met het Duitse en Nederlandse ministerie van Defensie en de Nederlandse Koninklijke Militaire Academie (KMA) werd afgelopen zomer de conclusie getrokken dat een land zich niet meer zelfstandig tegen dit soort agressie kan verdedigen. De defensie is bovendien te zeer afhankelijk van de burgermaatschappij om zich bij een aanslag, waarbij massaal computers uitvallen, te isoleren en het probleem op eigen kracht te bestrijden.
Zo’n aanval is in Nederland niet denkbeeldig, zegt Luiijf. „Als een oorlogsmisdadiger wordt voorgeleid bij het internationale hof in Den Haag en hij weet deskundige vriendjes te mobiliseren, kan het maatschappelijk leven aanzienlijk worden verstoord.”
President Clinton kondigde vorige week aan het budget voor beveiliging van computers met 160 miljoen dollar uit te breiden. Daarmee komt het totale budget voor onderzoek aan computerbeveiliging op 621 miljoen dollar. Dat programma moet zorgen dat tegen het eind van dit jaar een groot aantal overheids- en kritische informatie-infrastructuren veel beter zijn beveiligd en dat Amerika in 2003 grootschalige aanvallen vanuit cyberspace op hun infrastructuren moet kunnen pareren. Met het budget worden bijvoorbeeld studiebeurzen gefinancierd voor groepen die werken aan deze problematiek. Clinton reserveert 91 miljoen dollar voor nieuwe onderzoeksprojecten.

Onderzoek
Dat de grootste chips- en softwarebedrijven in de VS zijn gevestigd, is volgens KPMG-directeur prof. Neijssing geen reden om in Nederland geen fundamenteel onderzoek te doen. „Bedrijven als Philips en Hollandse Signaal hebben zich ook toegelegd op strategisch inzetbare toepassingen die worden gebruikt
in apparatuur van anderen”, aldus Neijssing.
Hans Schoone van Consul Risk Management vindt dat veilig programmeren een belangrijke plaats zou moeten krijgen in de informaticaopleidingen. „Specificeren wat een programma niet mag, is minstens zo belangrijk als wat het moet kunnen. Maar in dat besef is de afgelopen twintig jaar weinig veranderd”, concludeert Schoone.
VVD-parlementariër Hella Voûte is het eens met grote aandacht voor nauwkeurigheid in de computeropleidingen. „Het kan niet zo zijn dat, net als in het geval van het millenniumprobleem, de computer opnieuw problemen in de toekomst veroorzaakt. Het herstel van dergelijke problemen blijkt de samenleving enorm veel geld te kosten. Bedrijven en overheid zullen samen moeten investeren om dergelijke problemen te voorkomen.”

Automatisering Gids • tdo • 14-01-’00
 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!