Beveiliging van informatiesystemen was lange tijd een redelijk overzichtelijk ritueel. Bedrijfsnetwerken waren van buiten af niet toegankelijk en de meeste PC’s waren ‘alleenstaand’. De combinatie van gebruikersnaam en wachtwoord moest de centrale systemen beveiligen.
Keer op keer bleek de menselijke schakel de zwakste te zijn: wachtwoorden stonden onder het toetsenbord, in de agenda of waren simpel te raden. Een ander vervelend fenomeen bestond uit virussen: Konijntjes zoals het Kerstmisvirus dat kerstboodschappen razendsnel vermenigvuldigt, Trojaanse Paarden die zich vermommen als onschuldige programma’s, en Tijdbommen die op ‘vrijdag de 13e’ afgaan. Informatie over virussen is te vinden in de Zweedse programmeurshemel en Virus Alert legt uit welke eenvoudige voorzorgsmaatregelen te nemen zijn. Toen PC’s opgenomen werden in bedrijfsnetwerken kregen gebruikers de opdracht om geen spelletjes en andere software op de PC’s te zetten en werden virusscanners ingezet zoals het populaire Macafee – inmiddels met een marktaandeel van 53 procent – dat honderden virussen herkent en de meeste verwijdert. Van recente datum in de virale geschiedenis zijn MS Word macro-virussen met namen als Meat Grinder en Word.generic waarover in de discussiegroepen comp.virus en alt.comp.virus veel alarmerende berichten verschijnen. Let er dus op regelmatig anti-virus-definities op te halen en toe te passen op Word-bestanden.
Het gebruik van modems om computers via het publieke net te laten communiceren introduceerde het probleem van hackers. Lezenswaardig is het Internetartikel ‘The Hackers Crackdown’. Het voormalige Hactic (nu XS4ALL) is een voorbeeld van een hackersvereniging die het als een sport beschouwde om elkaar te helpen aan toegangscodes. Hoe beveiligder het instituut, des te leuker: Nasa, het Amerikaanse ministerie van Defensie, de Nato, enzovoort. Alle werden één of meerdere keren het slachtoffer van hackers. Criminele organisaties en inlichtingendiensten begonnen zich hierdoor meer en meer te interesseren voor deze nieuwe beroepsgroep. Met de komst van Internet ging de poort naar aangesloten organisaties nog verder open. Een waar hackers-walhalla ontstond; tegelijkertijd kwam de reactie daarop: een versnelde ontwikkeling van technologieën voor beveiliging. Firewalls – zie de FAQ (‘frequently asked questions’) van de universiteit van Ohio – voor het afschermen van een bedrijfsnet, versleutelingstechnologie voor documentbeveiliging, en identificatie- en betaaldiensten. Voor het succes van Internethandel is een goede beveiliging een noodzakelijke randvoorwaarde. Vandaar dat IBM, Visa, Tandem en anderen er zo hard aan trekken om de SET-standaard als beveiligingsstandaard in de markt geaccepteerd te krijgen voor met name online betalingen. Andere dankbare objecten voor aanvallen zijn inmiddels ook de browsers van Microsoft en Netscape. Gaten in de beveiliging zijn meermalen ontdekt met betrekking tot Activex en Java-scripts. Het betreft de mogelijkheid om de gebruikerssessie te volgen, het lekken van informatie tussen frames en het versturen van e-mail zonder dat de gebruiker dat wil! Een beschrijving hiervan biedt de site van Loverso. Vanzelfsprekend doen Netscape en Microsoft hun best bugs te verhelpen en zwaardere encryptie toe te passen voor zover de exportwetten van de VS dat toelaten.
Met Internet ontstonden ook beveiligingsrisico’s op het niveau van besturingssystemen, zoals beschreven in de Web Security FAQ: "of de Unix-gemeenschap het leuk vindt of niet, de keerzijde van de openheid en flexibiliteit van Unix is haar kwetsbaarheid". Producten als Satan moeten systeembeheerders helpen om zulke netwerkbeveiliginsproblemen te onderkennen en op te lossen.
Het meest Kafkaiaanse van alle beveiligingsrituelen is nog dat de te beveiligen kennis iedere dag op twee benen de beveiligingsmedewerker groet en vrolijk door de poort naar buiten gaat, regelmatig van baan verwisselt, geheime rapporten in zijn koffer laat slingeren en geanimeerd roddelt over de bedrijfspolitiek in café, trein of vliegtuig. Sociale codes staan het ons, gelukkig, niet toe dit gapende lek te dichten. Terecht speelt het beschermen van privacy hier in de discussies een centrale rol. De Internet Privacy Coalition spant zich in om het gebruik van versleuteling aan zo min mogelijk wettelijke regels te onderwerpen. De grote voorvechter van vrije export is de inmiddels wereldberoemde Philip Zimmerman die zijn encryptieprodukt PGP (Pretty Good Privacy) illegaal, gratis heeft geëxporteerd en daarvoor een tijdlang vervolg werd. Zijn introductie tot PGP is inmiddels uitgegeven door MIT Press. Bedrijfsspionage via versleutelde e-mail is via producten als PGP wel heel moeilijk tegen te gaan. Niet alleen bedrijfsspionage, vandaar de verhitte discussies in het Congres van de VS over een ‘escrow’-regeling binnen de Secure Public Networks Act, beschikbaar via de bibliotheek van het Congres. De nachtmerrie van overheden is dat ze geen afluistermogelijkheden hebben bij criminele communicatie, en dat de fiscus transacties niet meer kan traceren waardoor de bodem onder bestaande belastingregimes wegvalt. Niet onlogisch dus dat Bill Clinton voorstelde om binnen Internet dan maar geheel af te zien van belastingheffing!
Om de drie weken schrijft dr. Martijn Hoogeveen, manager Partnership & Service Development bij PTT Telecom Internetdiensten, over de beste Internet-sites rond een interessant IT-onderwerp.
Alle http-adressen van de genoemde sites staan in Computable Online: https://www.computable.nl/internet.
