Beveiliging verkoopt niet

Tussen de 5 en 30 procent van alle ICT-hardware is nagemaakt. Niet alleen is dat een enorm omzetverlies voor de producenten – voor 2007 naar schatting 58 miljard dollar – ook vormt deze hardware een groot risico omdat een deel ervan voorzien wordt van malware waardoor ze gebruikt wordt voor spionagedoeleinden. “Daarbij gaat het om overheden van die fabrikanten. Die zitten dan wel gelijk in onze netwerken!”, zegt Marcus Sachs, Executive Director of Government Affairs for National Security Policy bij Verizon en directeur van Sans Internet Storm Center. Ook bevat een deel van deze hardware slordigheidsfouten, wat grote problemen kan opleveren in het gebruik. De cijfers zijn afkomstig van de Alliance for Gray Market and Counterfeit (AGMA) en KPMG. De namaak is moeilijk van echt te onderscheiden, ook al omdat ze vaak domweg uit dezelfde fabrieken afkomstig is. Sachs: “Zolang precies duidelijk is waar hardware vandaan komt, is er niets aan de hand. De leveringsketen is echter vaak lang. Kijk je naar de toeleveranciers van de toeleveranciers van de distributeur, dan wordt de afkomst van een product al heel onduidelijk. Op dat punt krijgt men de kans namaakartikelen aan te bieden in de leveringsketen.” Criminele toeleveranciers krijgen die kans echter doordat “de klant de laagste prijs wil.” Hij wijst daarbij op een groot onderzoek dat de FBI doet naar nagemaakte Cisco-routers, die onder meer door de Amerikaanse overheid zijn gekocht. Die werden voor een kwart van de officiële prijs aangeboden. Het prijsverschil bleek ook voor de overheden te verleidelijk.Tevens blijft het voor computercriminelen bijzonder aantrekkelijk misbruik te maken van zwakken plekken in software, omdat die nog altijd volop voorkomen. Het aantal fouten in software is nog altijd zeer groot. “Softwarebouwers dumpen nog altijd zeer veel onveilige code in hun producten. Hackers weten dat en gaan er dus op af. Zij vinden altijd lekken die leveranciers niet vinden en misbruiken die”, zegt David Rice, directeur van beveiligingsadviesbureau de Monterey Group. “Zolang de softwarefabrikanten geen prikkels krijgen van de markt om betere software te maken, gebeurt het niet. Zij gaan voor marktaandeel, wat inhoudt dat ze software eerst uitbrengen en naderhand pas testen. Daarbij spelen mee dat beveiliging geen verkoopargument is en dat de markt om steeds meer functies vraagt, wat de onveiligheid weer vergroot. Dat betekent dat er een niet-aflatende stroom onveilige software op de markt wordt gebracht.”Daarnaast hebben maar weinig organisaties hun loggings op orde. “Veel databasebeheerders zetten de logfunctie uit, omdat dit een te groot beslag legt op de prestaties van de systemen en dáár worden zij op afgerekend; niet op het hebben van goede loggegevens. Maar hoe kun je dan ooit bewijzen dat de gegevens van veertig miljoen creditcards uit de database zijn gestolen? Ze zijn immers niet weg en dan heb je alleen de logs om te bewijzen dat en wanneer het gebeurd is. Heb je die niet, dan moet je ernaar raden en dure forensische experts inhuren, zegt Anton Chuvakin van LogLogic. En dat is veel duurder dan de aanschaf van zwaardere systemen om de databases snel te laten draaien met de logfunctie aan.