Nederland zo lek als een mandje? Helemaal niet nodig!

de ov-chipkaart (foto anp)

Hoe vaak ik heb gehoord dat honderd procent veiligheid niet bestaat, weet ik niet. Maar je kunt je wel degelijk volledig beschermen. Het is vooral een kwestie van willen.

Vorige week ben ik begonnen met een grote actie: honderden bedrijven melden dat ze lek zijn. Veel lekken gaan niet om persoonsgegevens of dienen geen grote belangen voor een breed publiek, en dus komen ze niet breed onder de aandacht. Maar er zitten ook zeer nieuwswaardige lekken tussen. “Tja, je kunt niet alles honderd procent beveiligen,” reageert een ondernemer laconiek. Dit hoor ik vaker.

Precies die reactie gaf ook Minister Melanie Schultz van Haegen in een spoeddebat toen ik had getoond hoe eenvoudig het is de OV-chipkaart te kraken was. Ik kon er drie weken ongestoord mee reizen. De fraude werd niet tijdig ontdekt en de kaart werd niet geblokkeerd, ondanks dat dit het parlement was toegezegd. De mededeling dat je niet alles volledig kunt beveiligen is dan ook niet meer dan een dooddoener, een zoethoudertje.

De werkelijkheid was dat het bedrijf dat de kaart produceert na mijn onthulling opeens wel ging investeren in het detecteren van fraude. Er werd een nieuwe, moeilijker te kraken kaart ingevoerd. Ook de controle-apparatuur van NS-conducteurs werd aangepast, want een zelfbedachte hack om niet bij een poortje maar op je laptop in te checken blijkt wel detecteerbaar. Van duizenden gevallen per dag gaat het nu nog om een handjevol reizigers.

Een kwestie van willen
Een goede beveiliging bleek dus wél te kunnen – het was een kwestie van willen. Maar de wil ontbrak aanvankelijk en dus werd een goedkopere chip gekocht, terwijl het voor een paar cent per kaart meer een stuk beter had gekund. Het bedrijf uit het voorbeeld had met een simpele update op zijn computersysteem zijn bedrijfsgegevens voor de buitenwereld verborgen kunnen houden.

Je kunt een systeem prima voor honderd procent beveiligen tegen gestandaardiseerde aanvallen. Veel criminaliteit is er namelijk op gericht om ergens data te stelen en die te misbruiken. Daarbij maakt het niet uit wie het slachtoffer is. Veel beginnende hackers die lekken willen aantonen gebruiken standaard-tools voor standaard-lekken. De aanvallen zijn vaak in de kiem te smoren en voor de problemen is een software-update beschikbaar.

Het mechanisme is simpel. Als u beter beveiligd bent dan uw buurman, dan is uw buurman een aantrekkelijker slachtoffer. Een fietsendief die kan kiezen om twee dure fietsen te stelen, zal de fiets zonder slot pakken en niet de zwaarbeveiligde fiets. Digitaal is dat voor veel aanvallen niet anders.

Het beschermen tegen gerichte aanvallen is ingewikkelder. Dan hebben we het over tegenstanders die per se bij een bepaalde partij informatie willen ophalen. Wie dan voldoende budget en mankracht tot zijn beschikking heeft, zal er inderdaad in slagen de informatie te krijgen. Maar dat is echt een andere tak van sport, waarbij het draait om technische en fysieke beveiliging, detectie en het inzetten van een krachtige verdedigingslinie. Maar voor veel gewone zaken geldt: honderd procent beveiliging tegen standaard-aanvallen is heel goed mogelijk.


  • Cecil

    Ik vind de titel toch eigenlijk zwaar misleidend. Er is duidelijk geen 100% beveiliging mogelijk. Ik ben het ermee eens dat het als schaamlap wordt gebruikt, maar dan moeten wij niet de andere kant opslaan.

  • Dick.

    Zo stuurde ik ooit een mail naar AMRO mbt pinnen.
    Had begrepen dat de code belangrijk was en deze tegen meelezen beschermd moet worden.

    Dus; bij elke transactie staat er in elk vakje een ander nummer,,de een is niet vanzelfsprekend de een daar komt steeds een ander cijfer,,net als bij de overige vakjes.

    Zo simpel en zo goedkoop (een klein printplaatje van E5) dat je de banken ervan verdenkt te verdienen aan diefstal,,,dmv doorberekening.

  • rob

    Las( u ook?) in de britse IT media ( 22/07/012) een stuk van de hand van Warwick Ashford, waarin de waarschuwing (waarom niet in ons land?) te lezen was voor hen die op (vaak) Twitter bezig zijn.Er zou en boodschap te lezen zijn “uw foto staat op ( klik hier)…”.Zij die, nieuwsgierig als velen zijn, op de site klikken, lopen de kans het “Black Hole”virus binnen te halen.De in Rusland gevestigde site zou dan op zoek zijn naar meer informatie zoals wachtwoorden etc.etc. van uw PC.Vnl oudere versies van browsers, plug-in van Adobe Flash,Adobe Reader,Firefox,Gogle Chroom,Internet Explorer”zijn het doelwit van de hackers.