Met een eenvoudig wiskundig model is het effect te bepalen van security maatregelen tegen malware. Het blijkt dat de Nederlandse samenleving kwetsbaar is, omdat software monoculturen het risico van cybercrime maximaliseren. Het theoretische model laat zien dat meer software diversiteit zeer effectief is tegen de verspreiding van malware. Essentieel voor het vergroten van diversiteit is het daadwerkelijke gebruik van open standaarden. Open source software vormt een goed alternatief om de Nederlandse samenleving minder kwetsbaar te maken.
Met een model kan de onderzoeker nagaan welke kwetsbaarheden een systeem heeft en hoe deze in de praktijk het beste kunnen worden verminderd. Zo gebruikten bankier Robert May en zoöloog Andrew Haldan rekenmodellen uit de biologie om de stabiliteit van de financiële markten te voorspellen (zie ‘De werkelijkheid van het model', NRC 22 januari 2011). Uit dat artikel blijkt dat veel banken hun geld halen uit dezelfde bronnen, vanwege het maximale rendement. Als zo'n veelgebruikte bron onverwacht opdroogt, kan dat een financiële crisis veroorzaken. Voor de stabiliteit is het daarom wenselijk als de financiële sector meer diversiteit heeft.
Monoculturen
Dat meer diversiteit gunstiger is, geldt ook voor ict-systemen. Het Nationale Trendrapport Cybercrime en Digitale Veiligheid 2010 geeft aan dat er in Nederland monoculturen bestaan voor pc-besturingssystemen, webbrowsers, pdf readers en Adobe Flash. Gebruikers van deze software lopen de meeste kans dat hun pc wordt besmet met computervirussen. Cybercriminelen maximaliseren namelijk hun ‘omzet' door hun virussen te richten op de software met het grootste marktaandeel. Het maken van een virus voor het Mac- of Linux-platform zal ongeveer even duur zijn als voor het Windows-platform, maar het marktaandeel is echter meer dan tien keer zo klein als dat van Windows. De criminele winst met een Mac- of Linux-virus is dus veel kleiner dan met een Windows virus.
Dit is te vergelijken met het verbouwen van hetzelfde gewas op het grootste gedeelte van de landbouwgrond. Al eeuwen is bekend dat zo'n monocultuur snel ziektes en plagen aantrekt. Als het gewas eenmaal is besmet gaat een groot gedeelte van de oogst verloren, omdat de kans dat de besmetting wordt doorgegeven in een monocultuur maximaal is. De oplossing die zijn effectiviteit in de landbouw ruimschoots heeft bewezen, is om een groot gebied op te delen in kleinere percelen en op elk perceel een ander gewas te verbouwen.
Het sis-model (susceptible-infected-susceptible) uit de biologie laat zien hoe een besmettelijke ziekte zich verspreidt in een populatie. Dit model kan ook worden toegepast voor computers die online gekoppeld zijn.
Het SIS-model bevestigt dat meer diversiteit de verspreiding van virussen binnen monoculturen effectief remt. Meer software diversiteit vermindert namelijk de kans dat een besmette pc een nog onbesmette pc kan besmetten. De balans tussen besmetting en ontsmetting zal daardoor verbeteren, waardoor er (veel) minder pc's besmet zullen raken.
Organisaties kunnen nog steeds standaard software kiezen, maar een samenleving wordt kwetsbaar als alle organisaties dezelfde software (blijven) gebruiken. Normaal gesproken heeft een belangrijk systeem dat niet mag uitvallen een backup. Een backup-systeem met dezelfde software als het operationele systeem kan echter met hetzelfde virus worden uitgeschakeld. Een continuïteitsplan verhelpt zo'n single-point-of-failure niet; er kan bij een cyberaanval op een vitaal systeem immers geen vervangend systeem met andere software uit de grond worden gestampt.
Cybercrime-risico maximaal
De software monocultuur maakt dat het cybercrime-risico voor de Nederlandse samenleving maximaal is. Dat komt omdat de kans maximaal is dat Nederlandse systemen malware oppikken, omdat voor marktleidende software verreweg de meeste malware circuleert. De impact is eveneens maximaal, omdat een besmetting doorgegeven kan worden aan het merendeel van de systemen. Als een groot aantal systemen besmet raakt omdat ze dezelfde software gebruiken, kunnen cascaderende effecten ontstaan.
In het NRC artikel denkt fysicus Neil Johnson dat biologische modellen niet toepasbaar zijn buiten hun context. Hij stelt dat banken zelf gemakkelijk meer diversiteit kunnen aanbrengen als zij dat willen. Op dit moment mist de financiële sector echter twee factoren om dat mogelijk te maken: een signaalfunctie wanneer er een kwetsbare monocultuur dreigt te ontstaan en de coördinatie tussen concurrenten om de diversiteit te vergroten, ten koste van de maximale efficiency per bedrijf.
Helaas geldt hetzelfde voor software monoculturen: denkend aan efficiency en bezuinigingen, zijn de Nederlandse overheid en het bedrijfsleven bezig bestaande software monoculturen te vergroten.
Verontrustend is dat uit diverse onderzoeken blijkt dat antivirusproducten nog maar tussen de 11en 63 procent van de nieuwste malware kunnen herkennen en daardoor steeds minder goed in staat zijn om besmettingen te verhinderen. Een dergelijke koers maximaliseert dus het risico dat met de meeste voorkomende computervirussen een groot deel van de Nederlandse economie wordt besmet. Met de huidige explosieve ontwikkeling van cybercrime, zal het vergroten van de softwaremonoculturen binnen Nederland dus meer uitval en economische schade veroorzaken dan het aan besparing zal opleveren.
Open source-software en open standaarden zijn op twee punten relevant om meer veiligheid te realiseren. In Nederland hebben we een sterke vendor lockin laten ontstaan, die overstappen naar andere software bemoeilijkt. Om het cybercrime risico te spreiden door diversificatie is het essentieel dat deze lockin vermindert. Het alleen introduceren van de ondersteuning van open standaarden is daarvoor onvoldoende. Het aansturen op het daadwerkelijk gebruik van open standaarden is nodig. Dit vermindert ook de kosten van een digitaal archief.
Open source en open standaarden
Open source-software vormt een goedkoop alternatief voor marktleidende software, waardoor meer diversiteit weinig extra hoeft te kosten als oude software moet worden vervangen. Daarnaast biedt open source meer economische voordelen, zoals meer flexibiliteit, versterking van de lokale kenniseconomie en meer concurrentie en innovatie in de software markt. Net zoals de introductie van de open source-webbrowser Firefox ervoor zorgde dat de ontwikkelaars van Internet Explorer wakker schrokken. Daarnaast pleiten onderzoekers ervoor om oplossingen zoals de ov-chipkaart als open source te ontwikkelen, om deze veiliger te maken. Ook de bekende AES-encryptie (onder andere in Winzip) is als open source ontwikkeld, om de kans te minimaliseren dat er een achterdeurtje bestaat waardoor iedereen vercijferde zip-bestanden kan ontcijferen.
Software bevat kwetsbaarheden, of de broncode nu open of gesloten is. De huidige onveiligheid is niet ontstaan door het aantal kwetsbaarheden van de gebruikte software, maar door het ontstaan van monoculturen. Het risico van cybercrime voor de Nederlandse samenleving zal verminderen door de software diversiteit te vergroten. Het gebruik van open standaarden maakt dit mogelijk en garandeert tevens de uitwisseling van informatie.
Henk-Jan van der Molen
Wie is Henk-Jan van der Molen?
Henk-Jan van der Molen is in het dagelijks leven verbonden aan de Hogeschool Wageningen. Hij doceert daar onder andere de modules Informatiebeveiliging, Verandermanagement en Business Intelligence. Daarnaast publiceert hij regelmatig in verschillende diverse media.