Kwetsbaarheid internet groot risico voor dienstverlening
Sinds internet in de jaren negentig voor het grote publiek beschikbaar is, is het aantal toepassingen en daarmee het gebruik explosief gegroeid. Uit de CBS-publicatie ‘De digitale economie 2004’ blijkt dat het aandeel van onlineverkopen in de totale omzet van bedrijven is gegroeid van 2 procent in 1999 naar 7 procent in 2003. Uit cijfers van 2004 blijkt dat 73 procent van de Nederlanders over een internetverbinding beschikt en dat 39 procent van de huishoudens elektronisch winkelt. De dekkingsgraad van internet is zo groot dat zowel overheid als bedrijfsleven internet inzetten als het geprefereerde - en soms zelfs enige - medium voor bedrijfskritische dienstverlening. Het kabinetsprogramma ‘Andere Overheid’ heeft als doelstelling om in 2007 65 procent van de dienstverlening via internet te laten verlopen. Een goed voorbeeld van een succesvolle toepassing is de belastingaangifte via internet. Voor het bedrijfsleven is internetbankieren een voorbeeld van een waardevolle dienst die geheel via internet wordt geleverd. Internet is een maatschappelijke en economische factor van belang geworden - een gemeenschappelijk goed. Het belang van de betrouwbaarheid van internet zal de komende jaren alleen maar toenemen. Naast een steeds grotere afhankelijkheid van internet als medium is de laatste jaren ook het aantal beveiligingsrisico’s toegenomen. Het meest in het oog springende verschijnsel is het ontstaan van zogenaamde Botnets (zie kader) en de kwade zaken die met Botnets worden gedaan. De enorme groei van het aantal virussen en wormen en de kwaadaardige creativiteit van virusschrijvers hebben geleid tot een grote groei in aantal en omvang van deze Botnets. Zij zijn op dit moment het leidende instrument dat ingezet wordt voor het versturen van spam, virussen of het ondernemen van Distributed Denial of Service-aanvallen (DDOS). Het gebruik van een Botnet is verrassend eenvoudig en moeilijk te traceren - de pakkans is zeer laag. Binnen 20 minuten Al in 2001 zijn de risico’s van internet door de Nederlandse overheid onderkend. In de kabinetsnota Kwetsbaarheid op internet (http://www.kwint.org) wordt door de ministeries van EZ en V&W een beleidsaanpak geschetst voor het optreden hiertegen. Sinds 2002 wordt dit programma in samenwerking met een groot aantal marktpartijen uitgevoerd. Binnen deze programma’s en initiatieven zijn op het gebied van voorlichting en markttransparantie (kernonderdelen van het Kwint-beleid) stappen genomen en resultaten behaald. De genomen initiatieven richten zich voornamelijk op de gebruikers van internet, zowel particulieren als bedrijven. De gerichtheid op de gebruiker en niet op de aanbieder is goed te begrijpen. Virussen, spam, spyware en het voor Nederlandse internetgebruikers relatief nieuwe phishing en pharming, zijn problemen die gebruikers en bedrijven grote overlast bezorgen. De problematiek is breed bekend en de effecten zichtbaar. Gebruikers worden aan alle kanten voorgelicht en geïnformeerd. Daar komt nog bij dat de software-industrie die zich met deze zaken bemoeit, nog steeds groeit, wat de zichtbaarheid ten goede komt. Desondanks is nog steeds een groot percentage van de pc’s van met name particulieren onbeschermd. Juist deze onbeschermde, en dus al snel besmette pc’s, kunnen deel gaan uitmaken van de al eerder genoemde Botnets. Het doorlopende onderzoek van het SANS-instituut (http://www.sans.org) naar ‘survivaltime’ geeft aan dat een nieuw geïnstalleerde en nog onbeschermde pc gemiddeld binnen twintig minuten na verbinding met het internet besmet is met een worm of virus. Hoewel het terecht is dat aan het beveiligen van de eindgebruiker veel aandacht wordt besteed, blijft de verantwoordelijkheid van de aanbiederskant - de ISP’s en de aanbieders van de onderliggende infrastructuur (carriers) - onderbelicht. Hier speelt een aantal grote problemen met significante risico’s waarvan de gemiddelde aanbieder van e-diensten zich over het algemeen minder bewust is. Zeer kwetsbaar In een recent rapport (voorjaar 2005) van het Amerikaanse Pitac (Presidential Information Technology Committee - http://www.nitrd.gov/pitac/) wordt de Amerikaanse IT-infrastructuur gekwalificeerd als ‘zeer kwetsbaar voor vooropgezette aanvallen met een potentieel catastrofaal effect’. De situatie in Nederland is in principe gelijk aan die in de Verenigde Staten. Dus ook in Nederland is de internetinfrastructuur zeer kwetsbaar voor een vooropgezette aanval. Goede voorbeelden van deze kwetsbaarheid zijn de dagenlange aanvallen op enkele overheidswebsites eind 2004 (regering.nl) en de succesvolle DDOS-aanval op het ministerie van Economische Zaken in de zomer van 2005. Deze laten zien dat ook in Nederland dienstverlening via internet daadwerkelijk een kwetsbaar doel is voor georganiseerde aanvallen van kwaadwillende groepen. Minder bekende voorbeelden van de laatste jaren zijn de deels geslaagde DOS-aanvallen op de routingprotocollen in het hart van internet (BGP4) en op de root-DNS-servers. Het blijkt dat de onderliggende infrastructuur, zeg maar het internet zelf, ondanks alle tot nu toe ondernomen initiatieven niet inherent veiliger is geworden. De providers en carriers hebben niet of nauwelijks concrete maatregelen genomen die de mogelijkheden tot misbruik en aanvallen daadwerkelijk verkleinen. Juist het veilig en betrouwbaar houden van de transportfunctie, toch de kernfunctie van het internet, lijkt stiefmoederlijk te worden behandeld. In deze onbetrouwbaarheid van de infrastructuur en het gemak waarmee aanvallen op de beschikbaarheid uitgevoerd kunnen worden, zit voor alle dienstverleners, zowel overheid als zakelijk, een zeer groot risico. Onbegrensd Het is voor aanbieders van diensten op internet maar zeer beperkt mogelijk om zelf maatregelen tegen deze aanvallen te nemen. In principe bestaat er geen manier om 100 procent tegen dit gevaar beschermd te zijn. De hoeveelheid dataverkeer die door een DDOS-aanval kan worden gegenereerd, is bijna onbegrensd en in staat om iedere datalink, onafhankelijk van de vorm van filtering of blokkering, volledig te overvoeren. Zelfs voor ISP’s en carriers is het op dit moment moeilijk om zichzelf (laat staan hun klanten) hiertegen te beschermen. Alleen een gezamenlijke aanpak van de in Nederland opererende ISP’s en carriers met betrekking tot beleid en techniek zal tot een aanvaardbaar risiconiveau voor tenminste het Nederlandse deel van internet kunnen leiden. Een van de kernvragen die hierbij gesteld moet worden, is in hoeverre zelfregulering door de internetsector effectief is en op korte termijn resultaat oplevert. In elk geval mogen zowel de eindgebruiker als de aanbieders van e-diensten op internet (dat is weldra vrijwel de gehele samenleving) verwachten dat de aanbieders een niveau van veiligheid garanderen dat in overeenstemming is met het economisch en maatschappelijk belang van deze infrastructuur. De kwetsbaarheden in de infrastructuur zijn in de internetgemeenschap bekend. Deze gemeenschap is ook doordrongen van het idee dat er iets moet gebeuren: er zijn meerdere organisaties, nationaal en internationaal, die zich met deze materie bezighouden. Het onduidelijke, decentrale en nog steeds wat academische karakter van het bestuur van internet lijkt echter prompte implementatie van effectieve maatregelen in de weg te staan. Als de internetgemeenschap binnen afzienbare tijd geen adequate maatregelen neemt, dan zal gezien de actualiteit van de dreigingen ingrijpen door bijvoorbeeld de wetgever noodzakelijk zijn. De gebruikers van internet, zowel eindgebruikers als bedrijven, gaan in deze niet vrij uit. Zij hebben de verantwoordelijkheid om een hogere betrouwbaarheid en betere bescherming te eisen van hun internettoeleveranciers. Als laatste heeft ook de Nederlandse overheid een verantwoordelijkheid, niet alleen als hoeder van de samenleving, maar juist ook als gebruiker en aanbieder van internetdiensten. In die laatste rol heeft de overheid een niet te onderschatten marktkracht die beter benut zou kunnen worden bij het afdwingen van de maatschappelijk gewenste betrouwbaarheid van internet. Drs. Berend Willem van Bemmel (berend.vanbemmel@vka.nl) is senior technical consultant bij Verdonck, Klooster & Associates te Zoetermeer.Aanvallen Distributed Denial of Service-aanvallen (DDOS) zijn steeds vaker, en grootschaliger, voorkomende aanvallen op specifieke dienstverlening, vaak websites. Maar in principe is iedere dienstverlening via internet kwetsbaar. Het idee achter een DDOS is om met behulp van een Botnet (bestaande uit enkele honderden tot tienduizenden besmette en gecontroleerde pc’s - zogenaamde Zombies) het netwerk van het slachtoffer zodanig te overvoeren dat er geen legitiem verkeer meer mogelijk is. DDOS-aanvallen hebben geen ander doel dan de dienstverlening te verstoren. Mede daardoor zijn zij verbazingwekkend eenvoudig op te zetten en moeilijk af te stoppen. De plegers zijn vervolgens zeer moeilijk op te sporen: het verkeer komt van de Zombies, de besmette pc’s van onwetende internetgebruikers, die via verborgen kanalen door de boosdoeners worden gecontroleerd. De hoeveelheid dataverkeer die bij een DDOS-aanval wordt gegenereerd, kan oplopen tot meerdere gigabytes per seconde, een verkeersstroom waar maar zeer weinig hosting providers zinvol mee om kunnen gaan. Normale maatregelen zoals firewalls, intrusion detection/prevention en load balancers helpen niet, ook zij bezwijken snel onder een dergelijke stortvloed. De schade van een DDOS-aanval zal moeilijk te verhalen zijn: de daders blijven meestal onbekend en de Service Level Agreement met de internet- of hostingprovider is waarschijnlijk niet gebroken. Dat laatste kan een wrang bijeffect hebben: bandbreedte wordt in het algemeen per verbruikte verkeerseenheid afgerekend (eventueel in staffels). Bij een DDOS-aanval kunnen in korte tijd gigabytes aan verkeer op het slachtoffer afkomen, die ziet de getroffen partij vervolgens op de maandelijkse rekening terug. Kernpunten ter verbetering De internetproviders hebben een gezamenlijke verantwoordelijkheid voor hun klanten. Zij kunnen de volgende stappen zetten. Het opstellen van gezamenlijke regels voor Nederlandse internetproviders met betrekking tot de gegarandeerde beveiliging en continuïteit van hun dienstverlening en die van hun klanten. Het aanbieden van schoner verkeer aan hun klanten: ‘goodput’ in plaats van ‘throughput’. De rekening voor misbruik wordt nu te vaak bij de klant gelegd, de aanbieder maakt het niet uit, de klant betaalt uiteindelijk toch de rekening. Het verplicht toepassen van risicoverlagende maatregelen (zoals in RFC2827) en dezelfde maatregelen afdwingen van (peering) partners. Alleen verkeer accepteren via een vertrouwde keten van partners. Verbeteren van de samenwerking bij het detecteren van misbruik en het ondersteunen van directe technische maatregelen in geval van misbruik. Werken aan het opzetten van een internationaal keurmerk voor veilige en betrouwbare internetproviders: verkeer uit landen of van (internationale) providers die niet meewerken, wordt niet langer getransporteerd door Nederlandse internetproviders. Gezien het (toch) locale karakter van internetdiensten en het internationale, sterk gespreide karakter van (DDOS-)aanvallen, lijkt een van de maatregelen die op korte termijn in elk geval voor de Nederlandse gebruikers en aanbieders van diensten verlichting zou kunnen brengen, het instellen van een virtuele grens rond wat ‘Nederlands internet’ genoemd zou kunnen worden. Deze grens kan relatief eenvoudig gesloten worden voor specifiek verkeer zodat de kans van een succesvolle aanval op een Nederlands site een stuk kleiner wordt. Een dergelijke grens zou gedeeld kunnen worden met andere landen als een soort ‘internet Schengen’. Stappenplan Omdat het risico op een DDOS-aanval niet tot nul is te reduceren, is het als organisatie verstandig voorbereidingen te treffen op een dergelijke aanval. De volgende vijf stappen zullen de mogelijke impact van een DDOS-aanval op de dienstverlening verminderen. Het maken van een risicoanalyse. Samen met de toeleveranciers inventariseren welke technische maatregelen passend zijn wat betreft kosten en resultaat (kosten/batenanalyse). Maken van goede (harde) afspraken met de internet- of hostingproviders over vaste maatregelen en het nemen van maatregelen ten tijde van een aanval. De alternatieven worden in kaart gebracht en er wordt vastgelegd wie op kritieke momenten beslissingen mag nemen. Het instellen van een crisisteam en een crisismanagementprocedure. Het crisisteam moet beslissingen mogen nemen. De procedure dient een korte en duidelijke actielijst te zijn. De procedure bevat in elk geval een communicatieplan en een actuele lijst van de verschillende personen die in de eigen organisatie en bij de internet- of hostingprovider tactische beslissingen mogen nemen. Vooraf bespreken wie er opdraait voor de gemaakte kosten. Het gaat hier onder meer om gemaakte werkuren van het crisisteam en de verbruikte bandbreedte.