Schieten op gestandaardiseerde software zoals Software-as-a-Service, daar heb je maar een paar kogels voor nodig. Omdat het bedrijfsleven steeds meer zaken doet op internet, is het dus belangrijk dat organisaties niet allemaal dezelfde software gebruiken. Want één maas in het veiligheidsnet en de ramp is niet te overzien. Althans, dat is het heersende sentiment in diverse media en forums. Richard Nijhoff van KPN heeft een heel andere visie.
Cybercriminaliteit is alleen efficiënt te bestrijden wanneer iedereen en elk bedrijf software beveiligt en zo samen een digitaal front vormen. Wat willen we dan liever? Dat de ondernemer veel geld kwijt is aan eigen ontwikkelde beveiliging en deze daardoor meestal op de lange baan schuift? Of met scherp geprijsde en zeer veilige standaard software beveiliging voor elk bedrijf binnen handbereik brengen?
De gedachtegang is dat we cybercriminaliteit buiten de deur houden als we beveiliging kleinschalig en bij de bedrijven zelf houden. Zo zouden criminelen steeds opnieuw een ingang op internet moeten vinden, terwijl toegang tot gestandaardiseerde software veel gemakkelijker zou zijn. Mijn ervaring is anders.
Juist bij kleinere bedrijven staat beveiliging van de software doorgaans niet hoog op de agenda. Kleine ondernemers denken dat vooral grote bedrijven slachtoffer zijn van cybercriminaliteit. Het bouwen van een geavanceerd veiligheidssysteem, met alle kosten van dien, blijft vaak achterwege. Zoals een inbreker liever een doorsnee woning binnensluipt dan een up-to-date beveiligd miljoenenpand, zie je dat cybercriminelen hun vizier liever op de kleinere bedrijven richten dan op multinationals. Bedrijven kunnen beter voor standaard software kiezen in plaats van prijzige maatwerksoftware en -beveiliging, want een van de krachten van standaard software is dat juist hier een groot deel van de ontwikkeling naar veiligheid uitgaat.
Maatschappij op internet
Dit is echter niet het enige argument. Feit is dat de samenleving en alle processen zich inmiddels grotendeels op internet afspelen. We kunnen niet anders dan cybercriminaliteit dus uiterst serieus nemen en benaderen zoals we criminaliteit in de ‘echte' wereld benaderen. Daarvoor is het van belang dat beveiliging overal is. Liever een standaard systeem dat sluitend is, dan één van losse snippers met gaten. We komen niet meer weg met een op toeval en ad hoc gebaseerd beveiligingssysteem. Onbeveiligde pc's worden bijvoorbeeld snel gevonden, om opgenomen te worden in criminele cybernetwerken.
Wanneer vervolgens een dergelijk netwerk een groot systeem onder vuur neemt, is het leed niet te overzien. Kijk naar recente cyberaanvallen op de internetinfrastructuur in Estland, waarbij gebruik is gemaakt van vele onbeveiligde pc's voor een grote aanval. Met een sluitend, beveiligd systeem kunnen criminelen geen gebruik maken van computercapaciteit van onbewuste internetters, maar moeten ze zelf investeren in hardware, wat absoluut remmend werkt.
Rat race met criminelen
Met het wijdverbreid toepassen van standaard software en het steeds verder sluiten van het digitale veiligheidsnet, wordt de georganiseerde criminaliteit uiteraard heftiger en professioneler. Nu al zie je, net als in de tastbare wereld, een rat race tussen criminelen en beveiligers. Dat is echter van alle tijden en niet per se nadelig. Wat dat betreft trek ik graag de parallel met Schiphol. Kon iedereen die kwaad in de zin had vroeger bij wijze van spreken met een wapen elk willekeurig vliegtuig binnenwandelen, nu is de beveiliging zo opgeschroefd dat de kans op misbruik sterk is afgenomen. Ondanks de met gelijke tred toegenomen georganiseerde misdaad.
Daar komt nog bij dat de georganiseerde misdaad zichtbaarder is dan de kleinere, ‘vanuit de zolderkamer' opererende criminelen. Dat blijft zoeken naar een speld in een hooiberg. Met cybercriminaliteit is dit precies hetzelfde. Ook hier geldt dat als je door gebrekkige beveiliging voor kleinere criminelen de digitale toegangspoort op een kier blijft zetten, het vroeg of laat grotere criminelen worden. Voor mij reden om te pleiten voor een hoge beveiligingsdichtheid, wat door software as a service voor alle organisaties binnen bereik komt.
Internet bankieren is standaard software
Als het over standaard software gaat, dan denken velen ook aan de beveiligingsproblemen van Microsoft. Want juist bij dit toonbeeld van standaardisatie staan hackers bij het verschijnen van een nieuwere versie massaal in de startblokken om gaten in de beveiliging te schieten. Microsoft heeft echter de afgelopen jaren veel geld en mankracht gestopt in het veiliger maken van de software.
Hierin heeft de softwareontwikkelaar al flinke stappen gezet en we zien nu al een trend dat cybercriminelen hun pijlen meer gaan richten op oudere systemen of andere software. Daarnaast vertrouwen mensen nu al veel meer op gestandaardiseerde software dan ze denken. Half Nederland belt en bankiert via het internet. Daar wordt gebruik gemaakt van gestandaardiseerde software.
Structureel aan de slag
Het enorme belang van grootschalige digitale veiligheid kan niet genoeg worden benadrukt. Toch blijft het bij kleinere bedrijven nog te vaak een onderschoven kindje, omdat ze denken dat cybercriminaliteit alleen de grote organisaties treft. Ook voor de grotere bedrijven is online beveiliging echter vaak iets wat ze ‘erbij doen'. Ze besteden een vermogen aan bewakers, toegangspoortjes, persoongebonden pasjes enzovoort, zonder diezelfde aandacht aan de virtuele veiligheid te besteden, behalve als er een wereldwijd opvallende, ingrijpende ‘cyberkraak' is uitgevoerd. Dan schieten grote bedrijven in een soort stuip, om vervolgens door te slaan naar de andere kant. Dan mogen de laptops niet meer mee naar huis en worden de USB-sticks afgeschaft, terwijl er prima software beschikbaar is om deze te beveiligen. Als je daadwerkelijk met digitale veiligheid bezig bent, is dat geen verrassing.
Vroeg of laat kan niemand er echter meer omheen: de wereld is enorm veranderd. Internet gaat nooit meer weg. De digitale snelweg loopt overal en cybercriminelen liften onherroepelijk mee. Bedrijven en consumenten moeten structureel aan de slag met veiligheid en kunnen vertrouwen op professionele service providers. Wat mij betreft kunnen we deze veiligheid het beste garanderen door iedereen een betaalbare, goede standaard voor digitale beveiliging te bieden: gestandaardiseerde software op basis van Softwar-as-a-Service.
Richard Nijhoff, directeur Software Online KPN
Ik hoef maar te noemen, Nemef, Lips? en daarmee hebben we het grootste deel van de beveiligingssloten markt afgedekt. Heeft iemand daar een probleem mee? Dus hoezo iedereen z?n eigen sloten proberen te maken? En al zeker niet een slot dat de buurjongens gratis voor mij in elkaar geknutseld hebben. Naast het feit dat standaard software natuurlijk veel rendabeler is (denk alleen maar aan het hergebruik van kennis en ervaring) verlies je juist die kracht van die massa vriendelijke en onvriendelijke hackers die de beveiliging toetsen van software, want die moeten overuren gaan draaien als iedereen een ander programma heeft, dat betekent dat er minder gezocht gaat worden en dus dat een leverancier dan minder gaat investeren in de veiligheid. Dus standaard software is zeer zeker niet per definitie onveiliger.