Virusscanner moet verplicht worden
Twee agressieve virussen waren op dit moment rond: W32/Badtrans@mm en W32/Goner@mm. De een gebruikt de mailinglist van de argeloze gebruiker om zichzelf te verspreiden en kan ongestraft zijn werk blijven doen, namelijk het verzamelen van onder meer creditcard- en bankgegevens. De ander probeert juist de virus- en firewall-software van de pc te verwijderen. Beide virussen komen typisch voor in de huiselijke omgeving, omdat daar de beveiliging nog steeds niet optimaal is. Hoe voorkomen we dit? De stelling is eenvoudig: ‘Geen enkele gebruiker en geen enkel bedrijf mag nog de internetsnelweg betreden zonder een up-to- date virusscanner. De internet service provider controleert hierop en de overheid zorgt voor wet- en regelgeving.’ Het antwoord is: een bindende afspraak tussen vier partijen. Tot nu toe hebben deze partijen elkaar nog steeds niet gevonden, met alle gevolgen van dien. Op de overheidswebsite www.surfopsafe.nl staat al een goede aanzet over de veilige inrichting van de eigen pc. In een uitgebreide uitleg over de gevaren van internet (met veel actuele links), worden virussen en hackers als belangrijkste bedreigingen genoemd voor de argeloze netsurfers. Toch had de overheid juist op dit moment een stapje verder mogen gaan. Virusscanning-software aanbevelen gaat eigenlijk niet ver genoeg. Een netsurfer gaat namelijk de digitale snelweg op waar hij niet alléén surft. En daarmee is iemand zónder virusscanner direct een gevaar voor die anderen. De APK-keuring is er ook slechts gedeeltelijk ter bescherming van de automobilist zelf, maar vooral om ‘geen gevaar op de weg’ te hebben rijden. En dus had de overheid hier een standpunt kunnen innemen over diegenen die de APK-keuring kunnen uitvoeren, de internet service providers (ISP’ers). Het artikel van Hidde Koenraad in AG 50 van 14 december slaat de spijker op zijn kop: wetgeving voor internet service providers. Maar ook hij concludeert dat hier nog veel water door de Rijn moet vloeien voordat de wetgeving sluitend is en privacy moet plaats maken voor controle. Zijn hoop is gevestigd op artikel 8 van het Europese Verdrag tot Bescherming van de Rechten van de Mens. Tot die tijd heeft hij geen oplossing. Dat hij de individuele eindgebruiker niet in staat acht doeltreffende maatregelen te nemen, is waar, maar daar wordt mijns inziens te gemakkelijk overheen gelopen. Alsof iemand die in de winter naar buiten gaat, niet in staat is een jas aan te trekken die voldoende bescherming biedt. De ISP’er controleert of die jas ook daadwerkelijk aan is. Dat mag hij doen als hij dat in zijn contracten heeft vastgelegd. Meest effectief Uiteraard ligt de eindverantwoordelijkheid voor het ondervangen van bedreigingen op internet daar waar deze het meest effectief kan zijn, dus bij de particulieren en het bedrijfsleven. Uit een onderzoek onder 55 ISP’ers blijkt dat het merendeel het hier mee eens is. Dat geven de meeste ISP’ers dan ook op als belangrijkste reden waarom zij de via hun servers verstuurde en ontvangen e-mail niet op virussen controleren noch hun leden een virusscanner aanbieden. Een aantal noemt het scannen van virussen in de e-mail die hun servers passeert, zelfs een inbreuk op de privacy. Ook hier verwijst Hidde Koenraad naar. Er blijft echter een taak voor de ISP’er en een groeiend aantal begint zich dat te realiseren. Overigens wordt, uit commerciëel winstbejag, het bedrijfsleven wel degelijk hulp geboden. Of dit in alle gevallen effectief is, moet blijken. Bij bedrijven komt immers de aanval vaak van binnenuit en blijft deze niet beperkt tot een virus. Zie hiervoor ook het artikel van Leo Willems in de Automatisering Gids van 30 november 2001 (‘Type inbreker is bepalend voor verdedigingsstrategie’). Niet alle inbraakpogingen en virussen zijn te voorkomen, maar het is mijns inziens iets te eenvoudig om als particuliere gebruiker het volgende uitgangspunt te hanteren: ‘Wanneer ik kostbaarheden in huis bewaar, kan ik ervoor kiezen géén sloten op de deur te maken en géén alarmsysteem aan te schaffen. Vervolgens zal ik verwijzen naar de politie die er, volgens mij, alles aan moet doen mijn kostbaarheden te beschermen. Wordt er toch ingebroken, dan is dat hun en toch zeker niet mijn schuld.’ Een simplificatie van deze uitdaging? Ik denk het niet. Natuurlijk zal het zo zijn dat de ISP’er alles binnen zijn mogelijkheden doet om hacks en virussen te voorkomen, maar als de eindgebruiker zijn voordeur blijvend openzet, dan is het verwijt wel erg gemakkelijk gemaakt. Nalatigheid Het bedrijfsleven kan zich inmiddels redelijk tot goed redden op internet, LAN en WAN, via firewalls en professionele virusscanners. Wordt er toch aangevallen/ingebroken, dan ligt dat veelal aan interne nalatigheid (bijvoorbeeld te laat updates/patches verwerkt), maar dat zal het bedrijf niet altijd erkennen. Bedrijven kunnen ook de hulp inroepen van een ISP’er die als hosting-partij beveiligingsservices aanbiedt, en/of van informatiebeveiligingsexperts die wijzen op vertrouwelijkheid/exclusiviteit, beschikbaarheid en integriteit, en dan komen met voorstellen voor het nemen van maatregelen. Kortom, zij hebben genoeg mogelijkheden om hulp in te roepen. Hun schade, geschat op 816 miljoen euro in het afgelopen halfjaar, kan worden afgedaan met: eigen schuld. Dit alles kent de particulier niet. Hoewel het aantal internetgebruikers nog steeds groeit, is de kennis van de eindgebruiker niet altijd voldoende en adequaat. Niet voor niets leveren ISP’ers cd-rom’s met installatiesoftware om überhaupt online te komen, browsers te installeren en/of zich aan te melden als lid/abonnee. Uiteraard zijn er gebruikers die hun pc of laptop hebben voorzien van een virusscanner en zelfs een private firewall, maar dit aantal is onvoldoende om de stroom virusaanvallen tegen te houden. Ze beschermen immers alleen hun eigen pc. Degenen zonder scanners ontvangen niet alleen virussen, maar verspreiden ze hoogstwaarschijnlijk weer naar iedereen aan wie zij e-mail versturen. Eén zaak hebben de gebruikers en het bedrijfsleven gemeen en daar zit de kans om het virusprobleem – voorafgaand aan wetgeving – alvast definitief aan te pakken: allen moeten een account of contract hebben bij een ISP’er. Of dit een inbelaccount is, via de kabel loopt of een betaalde service is, maakt niet uit. Via deze overeenkomst kan een start worden gemaakt met het uitbannen van virussen. De ISP’er controleert immers bij het aanmelden/inbellen een gebruikersnaam en wachtwoord. Waarom dan ook niet (als APK-keuringsstation) controleren of een virusscanner actief is? Er is op dit moment al een beperkt aan- tal ISP’ers die virusscanning-software meelevert zodra een particulier abonnement wordt afgesloten. Anderen doen dit niet, maar leggen het probleem bij hun klant. Daar – bij die particulier – hoort de software ook geïnstalleerd en operationeel te zijn. Maar niet voor niets spreek ik van een convenant. De maatregel van het installeren heeft pas zin, als er controle op is. En die zal toch echt bij de ISP’er moeten liggen. Deze kan zijn verantwoordelijkheid niet ontlopen. En hoeft dit ook niet te doen. Een eenvoudige en legale controle kan een hoop narigheid voorkomen. Technisch is dat geen enkel probleem, ook niet om te controleren of het scanningstool up-to-date is. ISP’ers die beweren dat dit niet hun taak is, maken zich er te gemakkelijk van af. Zij mogen best (hun?) maatschappelijke verantwoordelijkheid oppakken. Immers, zo schrijft Hidde Koenraad, ook hun eigen services lopen gevaar. Niet alle virussen worden zo gevonden? Nee, maar 80 procent van de huidige ellende wordt wel degelijk afgevangen met een standaard virusscanner. Geen up-to-date virusscanner? Dan mislukt het inloggen of vervalt de service. Zo simpel. En daar mag de overheid dan weer regels voor maken. En na de virussen pakken we de overige aanvallen aan. Henk Meeuwisse (meeuwihe@iquip.nl) is senior-consultant en informatiebeveiligingsdeskundige bij Iquip Informatica BV.Uit onderzoek, uitgevoerd in november 2001, onder 33 procent van zowel de NLIP-leden (de branchevereniging van Nederlandse internet-providers) als de wat grotere niet-leden blijkt het volgende: 3 procent van de onderzochte NLIP-leden levert een virusscanner of scant zelf, tegen respectievelijk 10 en 8 procent van de niet- leden. De overgrote meerderheid van ISP’ers (lid of geen lid) doet op dit moment dus geen van beide.