Spring naar de content

Nederland zo lek als een mandje? Helemaal niet nodig!

Hoe vaak ik heb gehoord dat honderd procent veiligheid niet bestaat, weet ik niet. Maar je kunt je wel degelijk volledig beschermen. Het is vooral een kwestie van willen.

Gepubliceerd op: Geplaatst in de volgende categorieën:
Geschreven door: Brenno de Winter

Vorige week ben ik begonnen met een grote actie: honderden bedrijven melden dat ze lek zijn. Veel lekken gaan niet om persoonsgegevens of dienen geen grote belangen voor een breed publiek, en dus komen ze niet breed onder de aandacht. Maar er zitten ook zeer nieuwswaardige lekken tussen. “Tja, je kunt niet alles honderd procent beveiligen,” reageert een ondernemer laconiek. Dit hoor ik vaker.

Precies die reactie gaf ook Minister Melanie Schultz van Haegen in een spoeddebat toen ik had getoond hoe eenvoudig het is de OV-chipkaart te kraken was. Ik kon er drie weken ongestoord mee reizen. De fraude werd niet tijdig ontdekt en de kaart werd niet geblokkeerd, ondanks dat dit het parlement was toegezegd. De mededeling dat je niet alles volledig kunt beveiligen is dan ook niet meer dan een dooddoener, een zoethoudertje.

De werkelijkheid was dat het bedrijf dat de kaart produceert na mijn onthulling opeens wel ging investeren in het detecteren van fraude. Er werd een nieuwe, moeilijker te kraken kaart ingevoerd. Ook de controle-apparatuur van NS-conducteurs werd aangepast, want een zelfbedachte hack om niet bij een poortje maar op je laptop in te checken blijkt wel detecteerbaar. Van duizenden gevallen per dag gaat het nu nog om een handjevol reizigers.

Een kwestie van willen
Een goede beveiliging bleek dus wél te kunnen – het was een kwestie van willen. Maar de wil ontbrak aanvankelijk en dus werd een goedkopere chip gekocht, terwijl het voor een paar cent per kaart meer een stuk beter had gekund. Het bedrijf uit het voorbeeld had met een simpele update op zijn computersysteem zijn bedrijfsgegevens voor de buitenwereld verborgen kunnen houden.

Je kunt een systeem prima voor honderd procent beveiligen tegen gestandaardiseerde aanvallen. Veel criminaliteit is er namelijk op gericht om ergens data te stelen en die te misbruiken. Daarbij maakt het niet uit wie het slachtoffer is. Veel beginnende hackers die lekken willen aantonen gebruiken standaard-tools voor standaard-lekken. De aanvallen zijn vaak in de kiem te smoren en voor de problemen is een software-update beschikbaar.

Het mechanisme is simpel. Als u beter beveiligd bent dan uw buurman, dan is uw buurman een aantrekkelijker slachtoffer. Een fietsendief die kan kiezen om twee dure fietsen te stelen, zal de fiets zonder slot pakken en niet de zwaarbeveiligde fiets. Digitaal is dat voor veel aanvallen niet anders.

Het beschermen tegen gerichte aanvallen is ingewikkelder. Dan hebben we het over tegenstanders die per se bij een bepaalde partij informatie willen ophalen. Wie dan voldoende budget en mankracht tot zijn beschikking heeft, zal er inderdaad in slagen de informatie te krijgen. Maar dat is echt een andere tak van sport, waarbij het draait om technische en fysieke beveiliging, detectie en het inzetten van een krachtige verdedigingslinie. Maar voor veel gewone zaken geldt: honderd procent beveiliging tegen standaard-aanvallen is heel goed mogelijk.