Onderstaand artikel van Johan De Wit verscheen op 24/1/2008 op de site van Gazet van Antwerpen


24 JANUARI 2008 - "De Belgische internetsites zijn de derde slechtst beveiligde ter wereld. Alleen China en Rusland doen nog slechter." Dat zegde Rudi Vansnick van Isoc (Internet Society Belgium) woensdag in de Kamercommissie Infrastructuur. Professor Bart Preneel (KULeuven) ging nog verder: hij raadde de mensen aan om zo weinig mogelijk gegevens op te slaan op hun pc en zo weinig mogelijk te bankieren via het internet. Ook het gebruik van de blackberry raadde hij af. Na de hoorzitting pleitte volksvertegenwoordiger Guido Depadt (Open Vld, foto) voor één ministerie voor ICT-veiligheid in heel België.

 

De Kamercommissie Infrastructuur organiseert momenteel hoorzittingen over de veiligheid van onze informatica. Woensdag greep de tweede reeks plaats en daarin werden onder meer Rudi Vansnick (Isoc) en de Leuvense cryptoloog Bart Preneel gehoord. Zij schatten de gevaren die onze informatica bedreigen veel hoger in dan eerdere politie- en beleidsverantwoordelijken deden.

 

Vansnick stelde dat de Belgische internetsites de derde slechtst beveiligde ter wereld zijn. Hij verklaarde dat door het feit dat je in België veel te makkelijk een domeinnaam kan krijgen: "Je moet niet eens een fysiek adres in het land hebben, het kan vanop een belastingparadijs gebeuren. Op de vereniging die domeinnamen toekent moet dringend meer controle komen". Volgens Vansnick werd dit pijnlijk duidelijk toen enkele jaren terug gratis domeinnamen werden aangeboden. Plots waren er 150.000 Belgische domeinnamen (.be) geregistreerd in Nederland. Nogal wat mercantiele Nederlanders hadden dit gedaan om de domeinnaam later te verkopen aan Belgen die hem echt nodig zouden hebben. Er moeten veel strengere criteria komen om een domeinnaam toe te kennen, zegde de deskundige.

 


Goksites

Vansnick wilde ook dat het "doorlinken" naar gokwebsites strafbaar wordt. "Internetgokken is verboden, maar nogal wat studenten zetten op hun website een link naar een casino en worden daarvoor in het zwart betaald. Dat kan niet". De deskundige hekelde eveneens de praktijken van Unizo, waarbij e-commerce-labels worden verstrekt. "Bedrijven met zo'n label zouden dan zogezegd veilig zijn om handel te drijven, maar dat is niet zo. Wij controleerden er elf en de helft was niet in orde met de privacywet. Er is geen enkele controle op de toekenning van die labels, die niet zelden gewoon verkocht worden. De consumenten moeten bovendien inspraak krijgen in de toewijzing van die labels".

Vansnick hekelde het feit dat in België nog nooit een bedrijf veroordeeld is voor spam, in tegenstelling tot in Nederland. "Hoe kunnen de bedrijven dan afgeschrikt worden? Er moeten veroordelingen komen en die moeten - zoals in Nederland - ook verplicht gepubliceerd worden", zo stelde hij. De deskundige vond de drempel om klacht in te dienen bij bv. e-cops of de ombudsmannen veel te hoog. "Deze diensten veronderstellen vaak een technische kennis die de gewone burger niet heeft". Ook duurt de afhandeling van sommige, zelfs eenvoudige, klachten veel te lang.

Volgens Vansnick doet de Belgische en de Europese overheid weinig tot niets om de gewone internetconsument te beschermen: "Deze overheden zijn vooral geïnteresseerd in grote bedrijven". Het beleid richt zich ook veel te eenzijdig op de aanpak van kinderporno op het net: "Alle energie gaat daar naartoe, terwijl er wel belangrijker problemen zijn".


Grote beveiligingsproblemen

 

Dat laatste werd beaamd door professor Bart Preneel (cryptologie, KULeuven), die een overzicht gaf van de grote problemen die zich stellen bij de beveiliging van ICT.

"Internet heeft een half miljard consumenten en daarbij moet je nog eens 2 miljard gsm-gebruikers tellen. Dat systeem beveiligen is moeilijk, duur en traag. Bovendien gaat de evolutie zeer snel: eens een beveiliging ontworpen, zijn er al andere systemen op de markt, die nieuwe beveiligingsproblemen stellen. Daarbij komt dat het grootste deel van onze ICT-infrastructuur in het buitenland is ontworpen en geproduceerd. Wij hebben dus geen vat op de beveiliging en de internationale controle werkt niet. Het Europese controle-orgaan Enisa komt niet van de grond omdat een aantal grote EU-staten geen belang heeft bij een Europees orgaan, ze hebben zelf eigen controlediensten", zo schetste hij het probleem. Volgens Preneel leidt iedere nieuwe technologische evolutie tot minder privacy "en dat zal almaar erger worden".

Volgens Preneel is de impact van een aanval op iemands ICT erg groot, veel groter dan bij een klassieke inbraak. "Een aanval kan van op afstand gebeuren, je moet niet meer fysiek binnendringen en kasten openbreken om aan geheime documenten te geraken. Bovendien kan het automatisch en snel en de schaal is groot: je krijgt in enkele seconden een massa gegevens die je bij een gewone inbraak met ettelijke camions zou moeten gaan ophalen. En als je slim bent, laat zo'n aanval op iemands ICT weinig sporen na".

De bedrijven verliezen door hackings data, zijn slachtoffer van bedrijfsspionage, hun sites zijn tijdelijk onbeschikbaar, hun reputatie lijdt schade. Maar zij kunnen zich nog verweren. De gevolgen van een aanval op iemands ICT zijn - aldus Preneel - veel groter voor de gewone burger, die zich nauwelijks kan verweren. Via allerlei zoekmachines gaat men zijn consumptiegedrag na, zijn privacy wordt vaak geschonden. En dat kan tot gevolg hebben dat hij niet alleen overstelpt wordt met spam, maar ook dat hij in een bepaald hotel meer moet betalen dan iemand anders, gewoon omdat de ingezamelde gegevens over zijn dure bestedingspatroon aan een hotelketen zijn verkocht. Het gevoel van onveiligheid dat de burger heeft op het internet is dus terecht, zo stelde Preneel.

Waarom is ICT niet veilig?

Preneel ziet twee economische oorzaken.

  • Om in deze sector succes te hebben (bv. met een nieuw programma) moet je heel snel een erg groot marktaandeel vastkrijgen. Want anders concurreren de collega's je weg. Daarom worden de producten snel ontwikkeld en dat gaat ten koste van de veiligheid. Pas als de markt "verdeeld" is, heeft men oog voor de veiligheid. Daar komt bij dat de gewone burger het verschil tussen een veilig en onveilig systeem vaak niet kan zien. En hij wil eigenlijk ook niet echt investeren in ICT-veiligheid.
  • Vervolgens: waarom zou een bedrijf betalen voor het vermijden van ICT-schade als het er zelf niet het slachtoffer van is? Van botnets bv. heb je zelf geen last. Of nog: waarom zou Visa een half miljard investeren in veiligheid? Als iemand met een gestolen Visakaart geld uitgeeft, dan betaalt Visa dat gewoon aan de benadeelde terug, omdat Visa dat geld zelf kan innen bij de handelaar waar het werd uitgegeven. En die verhoogt zijn prijzen met 5% omdat hij dat risico wil verrekenen. Uiteindelijk betaalt de consument het gelag. Het systeem heeft geen economische stimulans om in veiligheid te investeren.


Een hacker juicht

 

Wat moet er gebeuren?

  • De overheid zou haar eigen diensten beter moeten beschermen. "Ambtenaren moeten hun gsm of blackberry niet gebruiken om gevoelige gegevens door te spelen, terwijl ze weten dat die kunnen worden afgeluisterd." Omdat alle netwerken meer en meer aan elkaar worden gekoppeld, ontstaat ook het risico dat alles platvalt, wanneer een hacker in een deelnetwerk binnendringt. Dat moet verhinderd worden. "In de bouwsector is een veiligheidscoördinator verplicht, maar in de ICT-sector helemaal niet. Nochtans is hij daar zeker zo erg nodig". Helaas is er volgens Preneel is in België weinig interesse voor internetbeveiliging.
  • Er is een grote behoefte aan één Nationaal ICT-beveiligingsplan, dat ook de kritische infrastructuur in kaart brengt. Dat bestaat in België niet.
  • De bestaande ICT-systemen moeten getoetst worden op veiligheid en de aansprakelijkheid van software producenten moet hoe dan ook verhoogd worden.
  • Preneel vond het niet zo'n goed idee is om steeds meer persoonsgegevens op te slaan in de strijd tegen het terrorisme. Want de veiligheid dààlt daardoor ook, omdat al die gecentraliseerde informatie ook kan gehackt worden. En dan is de onveiligheid nog groter. Als de overheid een overheidsdienst beveelt om bepaalde gegevens te stockeren, dan moet ze minstens ook een streng beveiligingssysteem van die data opleggen en die beveiliging ook controleren.
  • Bedrijven die een nieuw informaticaproduct op de markt brengen, moeten daarvoor eerst een certificaat van de overheid krijgen, zodat tenminste wordt nagegaan of dat product wel veilig is.
  • De banken moeten verplicht worden om alle informatie over eventuele phishing (waarbij iemand via een nep-website die precies op die van jouw bank lijkt, bij jou persoonlijke data, zoals je geheime toegangscodes voor internetbankieren, opvraagt om dan achteraf geld van je rekening te halen) bekend te maken en duidelijk uit te leggen hoe dit mogelijk was en hoe het kan worden verholpen. Nu is er terzake geen meldingsplicht, in tegenstelling tot in Californië.
  • De burger slaat best zo weinig mogelijk gegevens op in zijn pc en hij maakt best zo weinig mogelijk gebruik van het internet om betalingen uit te voeren. Want het is niet veilig, zo zegde Preneel herhaaldelijk. Tenslotte raadde de prof het gebruik van blackberry's af.

In een eerste reactie pleitte volksvertegenwoordiger Guido Depadt (Open Vld) voor de oprichting van één ministerie dat verantwoordelijk is voor de ICT-veiligheid overal in België. Depadt wil ook een meldingsplicht invoeren voor banken, die slachtoffer worden van ICT-misdrijven.

 

Link naar artikel op website Gazet van Antwerpen.

Internet Society (ISOC) Belgium vzw-asbl - Tel:+32  9 329 39 16 -  RPR : 0875.696.796