De aanpak van cybercriminaliteit is veel te veel gericht op aanvallen van buitenaf. De interne dreiging is stukken groter, maar wordt onderschat. Vooral systeembeheerders vormen een risicogroep, beweert Koen Bouwers, directeur van het Delftse Consul Risk Management.
De onderzoeksresultaten zijn verontrustend. Kpmg constateerde in een recent onderzoek dat de meeste computerinbraken worden gepleegd door mensen die gedetailleerde kennis beschikken van de systemen die ze aanvallen. Dat kunnen bijvoorbeeld gefrustreerde (ex-)-medewerkers zijn, maar ook (oud-)personeelsleden van partners waarmee de organisaties nauw samenwerken. Bij senior managers bestaat hier nauwelijks besef van. Het Computer Security Institute van de FBI schat dat zo’n 76 procent van de beveiligingsschendingen door insiders wordt gepleegd. Gartner noemt zelfs een percentage van 95 procent.
Toch bepalen hackers, virussen en fraude op internet nog steeds het beeld van de cybercriminaliteit. Dat bleek eens te meer op de vorige week in Den Haag gehouden internationale conferentie over de aanpak ervan. Daar discussieerden overheid en bedrijfsleven volop over de wijze waarop de internet-infrastructuur moet worden beschermd en wie de investeringen daarvoor moet opbrengen, en het op handen zijnde omstreden verdrag van de Raad van Europa dat opsporingsdiensten verregaande bevoegdheden in cyberspace geeft.
Geen woord echter over de interne cybercriminaliteit. Volgens Koen Bouwers, directeur van auditsoftwareleverancier Consul Risk Management uit Delft, ligt daar nog een taboe op. "Veel bedrijven vrezen voor negatieve publiciteit als zulke zaken in het nieuws komen en zwijgen liever over interne incidenten. Er bestaan daardoor nog weinig praktijkvoorbeelden, waardoor het bewustzijn bij managers laag blijft. De meeste aandacht in de media gaat bovendien uit naar aanvallen van hackers of credit card-fraude op internet."
Dubbelspion
Een van zaken die wel het nieuws haalde, betrof een ex-medewerker van Cisco die eind vorig jaar in de Verenigde Staten werd aangehouden op verdenking van het verkopen van blauwdrukken voor een nieuw optisch product aan rivaal Calix Networks. Hij zou diverse bestanden, e-mail-correspondentie, website-informatie en CD-Roms voor zijn nieuwe werkgever hebben meegenomen.
Een ander geval was de arrestatie afgelopen februari van de FBI-agent en computerprogrammeur Robert Hanssen, die jarenlang voor de KGB bleek te spioneren. Bouwers beweert dat de Amerikaanse recherchedienst hun dubbelspion, die bijvoorbeeld in de computers van collega’s inbrak, allang had kunnen pakken als er auditsoftware was geïnstalleerd. Hij voorspelt dat de beveiligings-auditmarkt de komende jaren flink zal groeien, profiterend van de groeiende beveiligingsmarkt in het algemeen. De traditionele auditbedrijven, die zich vooral op kwaliteitstoetsingen richten, laten het hier overigens lelijk afweten. Bouwers noemt vooral systeembeheerders de zwakke schakel binnen een bedrijf. "Ze hebben een zware baan en hun loon is doorgaans niet hoog. Deze werknemers kunnen dankzij hun werk vaak wel het hele systeem betreden. Waarom zou zo iemand niet een keer in de verleiding komen om wat geld naar zijn spaarrekening over te boeken of gevoelige data aan de concurrentie door te spelen?"
Beveiligingsaudits
Consul Risk Management levert software waarmee organisaties de mate van beveiliging van hun it-omgeving kunnen meten en kunnen nagaan of bepaalde acties wel waren toegestaan volgens de opgestelde bedrijfsprocedures. Het Delftse auditbedrijf rekent met name financiële instellingen, zoals KAS Associatie en ING Groep, tot zijn klantenkring. "Veel overheidsinstellingen en bedrijven menen dat de beveiliging in orde is als zij de netwerkautorisaties goed regelen. Maar je moet vervolgens wel het gebruik van die autorisaties continu meten. Probleem is dat it-medewerkers niet gewend zijn aan zulke beveiligingaudits."
Consul Risk Management is in 1980 opgericht door Hans Schoone, Rob van Hoboken en Gilbert Houtekamer, die elkaar van de TU Delft kenden. De echte doorbraak vond in 1998 plaats toen het bedrijf een financiële injectie kreeg van vier miljoen euro van Nesbic en Kennet Capital. Hiermee werd het mainframe-georiënteerde product klaargemaakt voor andere besturingssystemen als Unix en Windows NT. Het bedrijf noteerde echter de laatste paar jaar rode cijfers, onder meer door een reorganisatie van de Amerikaanse vestiging. Dat vormde vorig jaar de aanleiding voor het aantrekken van de van Lernout & Hauspie afkomstige Koen Bouwers. Hij moet de verdere groei van Consul in goede banen leiden. Bouwers verwacht dit jaar breakeven te kunnen draaien. De omzet van 15,4 miljoen in 2000 wil hij verhogen met maar liefst 70-100 procent. Het oprichtingstrio zit nog wel in Consul, maar houdt zich bezig met de technologie.
Er werken 90 mensen bij Consul, waarvan 73 in Nederland, 20 in de VS en 7 in Duitsland. Het auditbedrijf werkt via distributeurs en partners als IBM, Price Waterhouse Coopers en Cap Gemini Ernst & Young. Met de laatste sloot het vorige week een samenwerkingsovereenkomst. Het Cap-onderdeel Hack@Hack breekt op verzoek van een klant binnen 48 uur in op zijn website, onderzoekt de mate van beveiliging en beveelt indien nodig het auditproduct van Consul aan.
