1. Hoe bang moet je zijn nu computercriminaliteit zwaar georganiseerd is en steeds meer en geavanceerder toeslaat?Bang zijn? Waarom zou je bang zijn?

Criminaliteit is er al sinds het begin der tijden. Je wordt ook niet vermoord op internet. Dat is veel erger. Bovendien is angst geen goede reactie. Slim zijn, daar draait het om. Dat geldt ook voor de echte wereld. Als je intuïtief te werk gaat op het net, dan gaat het goed. Kinderen bijvoorbeeld weten het heus wel als er iets niet in de haak is op een website.

Alleen onervaren gebruikers lopen gevaar. Ze weten dingen niet. Je hebt op het net een goede bullshitdetector nodig. Alleen oudere, eenzame, beginnende gebruikers trappen in scams. Iedereen onder de 30 weet toch wel inmiddels welke risico’s je loopt op internet. En op het net is het grotendeels veilig, net als in de echte wereld. Wij beveiligers denken altijd alleen maar aan de bedreigingen die mogelijk zijn. Zo gaat dat niet met de rest van de mensen. Je kunt niet leven als je altijd maar bang bent. Het net is niet perfect, maar het is ook weer niet heel slecht. Anders was het er nu echt niet meer.

2. Kan de georganiseerde computercriminaliteit worden verslagen?

Op dit moment is er geen oplossing. Dit is een omgeving waarin de slechterikken de bovenhand hebben. Men is niet in staat hen op te sporen en dat blijft voorlopig wel zo. We wonen in een wereld waarin je je het beste kunt verdedigen door in een fort te gaan wonen. Er zijn bijna geen consequenties voor computercriminelen. Wat je kunt doen, is zorgen dat jij niet het makkelijkste doelwit bent door je beter te beveiligen dan je buurman. Net als in de echte wereld. Criminelen zijn niet op bepaalde personen uit. Ze zoeken gewoon slachtoffers, maakt niet uit wie dat is.

Dat criminelen steeds specifieker te werk gaan en gericht inzoomen op bepaalde groepen slachtoffers is wel gevaarlijk. Misschien stopt iedereen straks wel dingen te kopen op het net. Wie weet. Dat zou interessant zijn, want veel op het internet is gebaseerd op advertentieverkoop. Het zou grote gevolgen kunnen hebben. Maar het is er niet slecht genoeg voor. Je raakt niet per definitie je geld kwijt.

3. Falen de overheden hierin?

De overheid kan dit nu niet aan. Er is internationale samenwerking nodig. Alleen de law enforcement kan cyberspace veilig maken. Niemand anders. President Obama zal binnenkort een cybersecurity-coördinator benoemen. Maar wie dat wordt, is geheel onduidelijk. En het duurt al enige tijd want zijn komst is al maanden geleden aangekondigd. Wat die coördinator vervolgens kan bereiken, hangt vooral af van de macht die hij krijgt. En bij macht moet je vooral denken aan budget. En in deze tijden..

4. Helpen de inspanningen van de IT-beveiligingsindustrie hierbij?

De industrie doet niet zoveel. Ja, de antivirusindustrie deelt wel kennis over aanvallen en dreigingen en dat is prima, maar dat is wel het enige. Verder wordt er maar bitter weinig gedeeld. Daar zijn vele pogingen voor gedaan, maar vergeefs. Wat nodig is, is dat er coherente namen gevonden worden van de daders. Daarvoor moet de overheid instappen. Die moet gewoon met wetten de informatie uit al die beveiligingsbedrijven en ISP’s persen.

5. Wat is uw favoriete beveiligingstechnologie?

Die heb ik niet. Eindgebruikers raad ik aan antivirussoftware te gebruiken maar vooral vaak back-ups te maken. Het grootste risico is verlies van je gegevens. Dat verklein je aanzienlijk met back-ups.

Veel technologieën gaan over tactieken en die veranderen steeds. Zakelijk gebruikers kunnen wat mij betreft alle beveiligingstechnologieën missen. Ja, er is nu antimalware op basis van reputatieherkenning. Dat zal best werken. En op basis van gedrag. Maar er zijn zoveel technologieën. De belangrijkste beveiligingstechnologie is het eigen brein. Aanvallers gaan achter mensen aan. Je verstand gebruiken is daarom van het grootste belang voordat je iets doet op internet.