Het wordt in de VS veiliger op straat, maar in de Amerikaanse computerwereld viert de criminaliteit hoogtij. Geautomatiseerde hackers en online fraudeurs hebben vrij spel in netwerken en op sites die onvoldoende zijn beveiligd. De FBI, verantwoordelijk voor de ordehandhaving in cyberspace, probeert bedrijven te bewegen aangifte te doen van digitale inbraken. Schaamte en angst voor reputatieverlies mogen hierbij geen rol spelen. Lokale zelfhulpgroepen en ‘wijkagenten’ van de FBI moeten hier uitkomst bieden. Waar vindt de FBI agenten die net zo goed uit de voeten kunnen met ‘firewalls’ als met een dienstpistool?
Niemand weet precies hoeveel criminaliteit in de VS wordt bedreven via computers, netwerken en websites. Volgens Louis Freeh, de chef van de FBI, werden er in 1998 slechts 547 geslaagde inbraken in computersystemen gemeld bij de FBI. In 1999 steeg dat aantal naar 1154. Onwaarschijnlijk lage aantallen. Freeh meent dan ook dat het hier gaat om het bekende topje van de ijsberg. Niet meer dan 15 procent van alle digitale overvallen zou bij de FBI worden gemeld. Freeh denkt dit omdat uit een eigen onderzoek in 1999 onder 520 Amerikaanse bedrijven – die anoniem bleven – is gebleken dat 60 procent te maken heeft gehad met het ongeautoriseerde gebruik van computersystemen.
Een inbraak in de eigen computers aanmelden bij de FBI? Om de dooie dood niet. De motieven om geen aangifte te doen van een inbraak lijken heel veel op die van het slachtoffer van een verkrachting: schaamte, angst voor herhaling, een deuk in de reputatie, angst voor verstoting en ‘het helpt toch niet’. Hoe zullen onze aandeelhouders, onze klanten en ook onze concurrenten reageren wanneer dit bekend wordt? Vooral ‘high- tech’ bedrijven, ‘dotcoms’ en financiële instellingen bedenken zich wel tien keer voordat ze aangifte doen van een inbraak in een systeem dat toch goed beveiligd zou moeten zijn. Toen City Bank door Russische hackers voor zo’n tien miljoen dollar werd getild, gebruikte een concurrerende bank dit nieuws in zijn eigen reclamecampagnes. Geen wonder dat op veel IT-afdelingen het motto ‘horen, zien en zwijgen’ de toon zet.
Hoeveel geld gaat jaarlijks verloren door diefstal en fraude? Hoeveel schade wordt er geleden omdat netwerken en sites plat gaan? Niemand weet de juiste antwoorden. De FBI doet er een gooi naar. Deze organisatie gelooft dat Amerikaanse bedrijven jaarlijks zo’n 10 miljard dollar schade lijden door criminele activiteiten in hun netwerken. Volgens de American Society of Industrial Security werd er in 1999 alleen al voor 45 miljard dollar aan intellectueel eigendom geroofd van Amerikaanse bedrijven.
Soms wordt echt geld ontvreemd maar vaker gaat het om het verlies van belangrijke data of om de diefstal van intellectueel bezit. Firewalls helpen? Zestig procent van alle computermisdaden wordt volgens de FBI ‘van binnen uit’ gepleegd dat wil zeggen door werknemers die met legitieme wachtwoorden toegang hebben tot een netwerk. Hoe een bedrijf zich moet wapenen tegen deze overvallen van binnenuit is een verhaal apart.
FBI kampt met slechte reputatie
Vaak doen bedrijven geen aangifte omdat men gelooft dat het ’toch niet helpt’ om de FBI in te schakelen. De schade is al geleden en het onderzoek zelf – bijvoorbeeld de inbeslagname van bewijsmateriaal – kan het allemaal alleen maar erger maken. Volgens de FBI is deze angst ongegrond. Maar de organisatie van Freeh moet opboksen tegen een slechte reputatie. Door technisch onbenul en onkundig opereren hebben de Amerikaanse misdaadbestrijders in het verleden een paar fikse bokken geschoten. Zo legde de CIA in 1990 het bedrijf Steve Jackson Games plat omdat het bedrijf ervan werd verdacht bezig te zijn een handboek voor computermisdaad te schrijven. In werkelijkheid ging het om Gurps Cyberpunk een even futuristisch als onschuldig computerspel. Door de schadevergoeding die de geheime dienst moest betalen kon het bedrijf nog net aan een faillissement ontsnappen.
Overheidsinstanties zijn minder terughoudend met het rapporteren van inbraken. Volgens de General Accounting Office van de Amerikaanse overheid worden er jaarlijks zo’n 250.000 pogingen ondernomen om in te breken in computers van de overheid en het militaire apparaat. Men mag veronderstellen dat een groot aantal van deze pogingen wordt ondernomen door verveelde teenagers, boze werknemers of sociopaten. Iedere poging om met een onjuist wachtwoord een systeem binnen te gaan wordt geteld. Maar er zijn ook serieuze aanslagen op de veiligheid. In 1998 slaagde een hackersgroep die zich de Masters of Downloading noemt erin om software te stelen waarmee defensie het positiebepalingssysteem GPS controleert. De sofware hiervoor om het schepen, vliegtuigen en raketten het navigeren makkelijker te maken, is dus topgeheim.
Vrijwel alle beveiligingsexperts geloven dat de computercriminaliteit in de komende jaren zal toenemen. Belangrijkste oorzaak: ‘automatisering’ van de criminaliteit. Er zijn zo’n tweeduizend hackersites waar men software kan ophalen waarmee zelfs volstrekte technofabeten volgens een ‘point-and-click’-procédé in netwerken kunnen inbreken. Eén van deze programma is bijvoorbeeld de software die websites laat crashen door een bombardement aan toegangsaanvragen, dat vervolgens leidt tot een weigering tot verdere dienstverlening. "Hackers hoeven niet langer begaafd te zijn omdat er zoveel uitstekende tools gratis beschikbaar zijn op Internet, dat betekent dus dat meer mensen in staat zijn schade te berokkenen," zegt Michael McConnel, de voormalige directeur van de National Security Association, de oh zo geheime overheidsorganisatie die onder andere belast is met de beveiliging van de computers van de overheid.
Officieel klachtenbureau
Niet alleen bedrijven ook webconsumenten zijn doelwit van computercriminelen. Vorig jaar kwamen er bij de Federal Trade Commission (FTC), de overheidsinstantie die toezicht houdt op het naleven van wetten in de economie, 18.000 klachten binnen van consumenten over al dan niet vermeende fraude via Internet. De fraude varieert van het misbruik van creditcards tot het aanbieden van niet bestaande objecten op webveilingen. Op grond van deze klachten heeft FTC 61 rechtszaken aangespannen.
In mei 2000 opende het Amerikaanse ministerie van justitie samen met de FBI een nieuw instituut, het Internet Fraud Complaint Center (IFCC). Het is de bedoeling dat dit instituut de klachten gaat verzamelen van consumenten die het slachtoffer zijn geworden van fraudeurs en boeven die opereren via websites. De verwachting is dat het aantal gevallen van inbraken in de PC’s van particulieren zal toenemen nu het aantal Internet-aansluitingen via de kabel en een digital subscriber line (DSL) groeit. Computers die via een ouderwets telefoonmodem het Internet opgaan krijgen iedere keer een ander tijdelijk webadres toegekend. Computers die gebruik maken van kabel- en DSL-modems die altijd aan staan, hebben een vast adres en zijn daardoor een gemakkelijker doelwit voor hackers die een PC willen ‘gijzelen’ als uitvalsbasis voor hack-aanvallen in computernetwerken.
Nationaal beschermingscentrum
Op 27 februari 1998 arresteerde de FBI twee teenagers in Californië voor een inbraak in de computers van het Pentagon. Op dezelfde dag lanceerde Janet Reno, Amerika’s minister van justitie, in Washington DC het National Infrastructure Protection Center (NIPC). Deze organisatie onder leiding van de advocaat Michael Vatis krijgt per jaar een slordige 80 miljoen dollar om te voorkomen dat allerlei nachtmerrie-scenario’s van crashende militaire en andere netwerken bewaarheid worden. Een van de wapens van deze organisatie is een databank waarin gegevens over alle geregistreerde computerinbraken worden bewaard. De NIPC wordt bemand door agenten van de FBI en een aantal vertegenwoordigers van bedrijven en organisaties die verantwoordelijk zijn voor wat de nationale infrastructuur wordt genoemd: telecommunicatie, financiële instellingen, transportsystemen, energievoorziening, de opslag en distributie van gas en olie, de drinkwatervoorziening en de alarmsystemen van politie en brandweer.
Het NIPC opereert onder het motto dat de overheid het niet alleen kan. Sterker nog: de bestrijding van computercriminaliteit kan alleen slagen wanneer alle bedrijven en alle organisaties meewerken. Ron Dick, hoofd van de Computer Investigations & Operations Sectie van het NIPC zegt: "Alle bedrijven moeten op hun hoede zijn en er voor zorgen dat hackers geen programma’s op hun computers installeren die gebruikt worden om aanvallen te lanceren.". De overheid en de FBI hopen binnen dit instituut te komen tot een nauwe samenwerking met het bedrijfsleven. Die samenwerking is één stap. De andere stap is digitale beveiliging. In 1999 gaven Amerikaanse bedrijven volgens International Data 4,4 miljard dollar uit aan ‘firewalls’, software voor het bepalen van de authenticiteit en autorisatie- en anti-insluipsoftware, en digitale certificaten. De voorspelling voor 2003: 8,3 miljard dollar.
Zelfhulpgroep en wijkagenten
Hoe kan de angst om aangifte toe doen bij de FBI worden weggenomen? Met vertrouwen. Robert Chesnut, een beveiligingsadviseur van het veel door hackers en fraudeurs geplaagde Internetveilinghuis Ebay gelooft dat bedrijven en organisaties al moeten samenwerken met de FBI voordat er sprake is van misdrijven. "Ik ben niet bang om met de FBI te werken omdat ik weet hoe ze werken," zegt Chesnut in Computerworld. Om vertrouwensrelaties op lokaal niveau op te bouwen tussen de cybercops en het bedrijfsleven heeft de FBI het Infragard programma gelanceerd.
Dit programma moet op lokaal niveau bereiken wat NIPC op nationaal niveau doet, namelijk samenwerking tussen FBI, bedrijfsleven en civiele organisaties. Het programma begon in augustus 1996 als een pilot-project van het plaatselijke FBI-kantoor in de stad Cleveland. De FBI-agenten in Cleveland gingen eens per maand om de tafel zitten met cio’s en andere IT-managers van 150 plaatselijke bedrijven en organisaties. Het doel: alle opties te bespreken voor samenwerking op het gebied van beveiliging en het wegnemen van wantrouwen. Jim Williams, een voormalig agent van het Computer Intrusion Squad van de FBI zegt het zo: "De sleutel tot het succes zit in het wegnemen van de barrières die slachtoffers weerhouden aangifte te doen op een FBI-kantoor. De FBI wil nu bedrijven benaderen voordat ze slachtoffer zijn geworden."
In de Infragard-groepen leren de vertegenwoordigers van de bedrijven en de organisatie elkaar en de lokale agenten van de FBI kennen. Ze wisselen informatie uit over de nieuwste virussen, computerinbraken en -fraudes. Ze geven elkaar adviezen over het beschermen van netwerken. Wanneer een bedrijf dat wil kan het volledig anoniem in de groep participeren. Ook overvallen, nieuwe fraudegevallen en het verlies van gevoelige data kunnen in de groep worden besproken zonder dat de identiteit van het slachtoffer bekend wordt. "Bedrijven willen niet dat hun aandeelhouders, hun klanten of hun concurrenten er achter komen dat ze slachtoffer zijn geworden van een computerinbraak," zegt Elisabeth Maher, een FBI agent uit Albany, New York. In feite werkt Infragard als een soort zelfhulpgroep onder supervisie van FBI-wijkagenten. Er zijn inmiddels Infragard-groepen opgestart in zestien Amerikaanse steden.
De cybercob
De FBI hoopt dat door Infragard het bedrijfsleven meer respect zal krijgen voor zijn cybercops. Het imago van de FBI als een bonafide bestrijder van computercriminelen is nog steeds voor verbetering vatbaar. In de Amerikaanse media komt nog vaak het beeld naar voren van ouderwetse agenten die zich continu in de luren laten leggen door minderjarige maar zeer bijdehante hackers. Uiteraard zijn er ook successen. De FBI klopt zichzelf graag op de borst voor de arrestatie in 1998 van hackerkoning Kevin Mitnick. Daar ging echter wel een maandenlange klopjacht in cyberspace aan vooraf en het belangrijkste speurwerk werd verricht door de beveiligingsexpert Tsutomu Shimomura en niet door de FBI.
Het is voor de FBI niet eenvoudig om mensen te vinden met de juiste combinatie van vaardigheden. "Een agent van de FBI moet tegenwoordig zowel kwaliteiten hebben als speurder als op het technische vlak," zegt Jim Williams die ooit deel uitmaakte van een FBI Computer Intrusion Squad. De FBI is op zoek naar mensen die net zo gemakkelijk omgaan met een dienstpistool als met ‘packet switching’. De kwaliteiten van zo’n agent worden vooral op de proef gesteld bij het ondervragen van hackers. Zo’n ondervraging kan volgens Williams alleen succesvol zijn wanneer de ondervrager minsten zo ’techno-snugger’ is als de hacker. Een belangrijk probleem voor de FBI is echter dat mensen die zo goed op de hoogte zijn van computerbeveiliging in het bedrijfsleven wel vijf keer zoveel kunnen verdienen als in overheidsdienst. De beveiligingsexperts die een opleiding hebben gehad bij de FBI, het leger of de veiligheidsdiensten zijn zeer gewild in het bedrijfsleven.
Teake Zuidema, freelance medewerker
