RSA: Het is nog lang niet pluis op internet

De boodschap is overal dezelfde: gelukkig komt er steeds meer aandacht voor IT-beveiliging, maar we zijn er nog lang niet. Het bewustzijn van de mogelijke risico’s bij de gebruiker groeit, leveranciers brengen steeds meer security-producten en -diensten op de markt en de overheid zorgt voor adequate wetgeving, maar de tegenpartij - hackers, virusmakers, fraudeurs en andere cybercriminelen - zit evenmin stil. Uit het onderzoek van Telindus onder 200 Franse, maar veelal pan-Europese bedrijven blijkt bijvoorbeeld dat negen van de tien managers diefstal of wijziging van informatie door onbevoegden als een van de grootste bedreigingen zien. Toch kent slechts 45 procent van de betrokken bedrijven een formeel beveiligingsbeleid. Hoewel de RSA-conferentie is opgezet door één leverancier met duidelijke belangen in dit marktsegment, probeert de organisator het evenement een bredere opzet te geven. Bijvoorbeeld door Microsoft en Sun Microsystems als hoofdsponsors naar voren te schuiven, naast kleinere sponsors alsKPMG, BeTrusted, de Trusted Computing Group en - alweer - Telindus. Zelfs de Europese Commissie verleent ondersteuning. De Amerikaanse versie van het evenement is de grootste conferentie annex vakbeurs over IT-security ter wereld. Afgelopen voorjaar trok de bijeenkomst achtduizend deelnemers. De Europese versie is kleinschaliger, met dit jaar zo’n duizend bezoekers en exposanten. Teleurstellend Art Coviello, president en algemeen directeur van RSA Security, tracteerde zijn toehoorders in Amsterdam op ‘teleurstellend nieuws’. De afgelopen twaalf maanden is onvoldoende vooruitgang geboekt met het veiliger maken van internet. Dat heeft een positieve oorzaak: de toenemende verbreiding van webapplicaties. "Ook zorgt het gebruik van draadloze technologie zoals Wi-Fi voor een makkelijker toegang tot internet dan ooit tevoren. We worden productiever, maar gaan er minder veilig mee om." Voor de eerste keer presenteerde RSA een ‘onveiligheidsindex’ waarbij met de natte vinger voor vijf aspecten van internetbeveiliging in Europa rapportcijfers van 1 tot 10 zijn uitgedeeld. Het hoogste cijfer duidt, nogal verwarrend, op een miserabele beveiliging. Gemakshalve zijn de scores van een jaar geleden, het eerste ijkpunt, allemaal op 5 gesteld. Nu rolt gemiddeld een 6-plus uit de bus. Met de subcategorie ‘hacks, aanvallen en tekortkomingen’ bijvoorbeeld is het droevig gesteld (score 8-plus). Het aantal bekende incidenten verdubbelt dit jaar tot circa 200.000, aldus adviesbureau Aberdeen Group. "Maar dat aantal verbleekt in vergelijking met de miljoenen niet gerapporteerde incidenten", sombert Corviello. Er zit ook steeds minder tijd tussen de ontdekking van een zwakke plek en de eerste aanval: drie jaar geleden was dat 500 dagen, nu nog maar 40 dagen. Ook op het punt van bedreigingen is de situatie verslechterd (score 8). Enerzijds is het gevaar van ‘cyberterrorisme’ overdreven: "Terroristen zijn meer geïnteresseerd in het vernietigen van mensenlevens en gebouwen dan het platleggen van internet." Ook adviesbureau Gartner meent dat de bedreigingen van binnenuit organisaties waarschijnlijk ernstiger zijn dan van buitenaf. Anderzijds kunnen virussen en spam de productiviteit ernstig ondermijnen, aldus Corviello. Verder bedreigt het gebruik van biometrische gegevens voor identificatie de privacy. De overheid heeft het er afgelopen jaar met een score van 4 op de Internet Insecurity Index nog het beste vanaf gebracht. De harmonisering van wetgeving tegen hackers in de EU-lidstaten verdient volgens RSA een pluim. Lof krijgt ook het initiatief van de Europese Commissie om per 1 januari 2004 een bureau voor internetbeveiliging op te richten. Aan de andere kant maakt Corviello zich zorgen over te sterke regulering door ‘overijverige’ regeringen. "Beveiliging verandert veel te snel om goed door overheden gevolgd te kunnen worden. Laat de overheid actief zijn op die gebieden waar ze goed in is: het beschermen van burgers en aandeelhouders en het bestraffen van misdadigers." Bellen in de pauze tijdens de conferentie van de RSA Security over veilig internet, waar bleek dat er binnen bedrijven op het vlak van beveiliging nog veel te verbeteren is.