De gelegenheid maakt de kraker

Ook in België krijgen steeds meer bedrijven te maken met “hackers” of computerkrakers. Hun doel? Winst maken. Een verontrustend fenomeen.

In de zomer van 1997 kreeg een Belgisch beursgenoteerd industrieel bedrijf een zorgwekkende e-mail binnen. Een hacker liet weten dat hij de voorbije weken vertrouwelijke financiële gegevens van het bedrijf had onderschept. Op het elektronisch berichtje stonden naam en adres van de dader. Hij vroeg geld. Het bedrijf betaalde, prompt, zo’n 200.000 tot 300.000 frank.

Dit is echt gebeurd. De onderneming in kwestie deed geen aangifte. Zij verkoos de “stille” regeling uit vrees dat het bekend raken van de inbraak of het uitlekken van de confidentiële gegevens invloed zou hebben op de beurskoers.

“Op die manier zetten professionele computerkrakers hun slachtoffer onder druk,” zegt Stijn Bijnens. “Door zich bekend te maken, ontstaat er een soort onderlinge vertrouwensrelatie. De indruk wordt gecreëerd dat zowel dader als slachtoffer alles te winnen hebben bij een minnelijke schikking. Meestal hoort daar dan een verhaaltje bij. De computerkraker stelt zich voor als een specialist met een zekere beroepsethiek. Hij wijst op de zwakke punten in het veiligheidssysteem van het bedrijf en vraagt die in orde te brengen. Hij voegt eraan toe dat hij later nog wel eens terug zal komen om alles te controleren. Of hij vraagt geld voor de financiering van zijn studies of zijn gezin.”

Dagelijks inbraken op websites

De 29-jarige Stijn Bijnens is burgerlijk ingenieur en gedelegeerd bestuurder van het Leuvense NetVision, gespecialiseerd in de beveiliging van IT-netwerken. “Wij krijgen bijna dagelijks te maken met pogingen tot inbraak op websites,” merkt hij op. “In 90% van de gevallen gaat het om relatief onschuldige gevallen: zoals een student die een commerciële software uitprobeert om het netwerk te scannen. Maar om de twee weken doet zich een ernstiger incident voor. Dan spreken we van zware technieken die aangewend zijn om doorheen de firewall ( nvdr – een elektronische veiligheidsmuur) van een bedrijf te breken en toegang te krijgen tot het Unix-systeem.”

Uit een internationale enquête die het vakblad Information Week vorig jaar samen met Ernst & Young hield bij 4226 IT-managers, blijkt dat 42% onder hen de voorbije twaalf maanden geconfronteerd was met inbraken op het computersysteem. Het jaar daarvoor lag dit cijfer nog op 16%. En – opvallend – 43% van de respondenten maakte melding van laakbare praktijken die veroorzaakt waren door interne medewerkers (tegenover 29% het jaar voordien). De studie gaf wel toe dat het aantal incidenten fors gestegen was, omdat er meer Internet-verbindingen zijn en omdat de bedrijven nu meer dan vroeger bereid zijn hun netwerken te controleren.

Er was wel nog een ander opmerkelijk cijfer. Uit de studie bleek dat niet minder dan 38% van de respondenten het slachtoffer was geweest van industriële spionage (tegenover slechts 6% het vorige jaar). Wanneer echter gevraagd werd naar de financiële impact van die inbreuken op het bedrijf, antwoordde 84% dit niet te kunnen inschatten. Een verontrustend fenomeen.

“Door economische omstandigheden is de band tussen werkgever en werknemer minder loyaal geworden,” legt Marc Cools uit, veiligheidsmanager bij Alcatel-Cegelec en docent aan de VUB. “Er wordt vlugger van job veranderd. Dit kan een mogelijke verklaring zijn voor de toename van de criminaliteit in de werkkring. Een crimineel is iemand die – de uitzonderingen niet te na gesproken – rationeel denkt. Hij maakt een kosten-batenanalyse. Vooraleer hij fraude pleegt, vraagt hij zich af: wat heb ik te verliezen wanneer ik gepakt word? Hij heeft een inkomen, een gezin, een sociale relatiekring en een zeker aanzien. Dat bindt hem aan de werkgever. In het arbeidsrecht wordt ervan uitgegaan dat de verhouding tussen de werkgever en werknemer te goeder trouw is en dat de werknemer zich naar best vermogen inzet. Maar die relatie is vandaag aan het vervagen. Waarom zou een IT-specialist zich zorgen maken over zijn job, als elders tien aanbiedingen op hem liggen te wachten?”

De gelegenheid

maakt de dief, vindt ook Freddy Gevaert, korpschef van de gemeentepolitie in Maasmechelen. “Iemand die in een kantooromgeving werkt en de koffiekas beheert of de bijdragen int voor een cadeautje van een collega die een kindje heeft gekregen, zal niet zozeer in de verleiding komen om iets achterover te drukken. Bij moderne informatietechnologie ligt dat anders. De dader kan op afstand handelen of op naam van iemand anders: hij steelt gewoon het paswoord. Bovendien is er geen rechtstreekse confrontatie met het slachtoffer. Om iemand fysiek te beroven heb je moed nodig, maar bij technologische fraude blijft het slachtoffer veelal anoniem.”

Ook Gevaert, die elf jaar lang kapitein was bij de rijkswacht en mee aan de basis ligt van het Bogo-team ( Bijstand Opsporing Geautomatiseerde Omgeving), ziet een negatieve tendens. “Vroeger werden computers vooral gekraakt omwille van de pret of uit fascinatie voor de technologie. Nu spelen andere motieven mee. Er wordt bewust naar informatie gezocht om daarmee winst te maken,” aldus Gevaert. Als gerechtelijk expert was hij recentelijk nog bij twee zaken van economische computerfraude betrokken. Eén in de transportsector, waar een interne medewerker vanop afstand informatie overhevelde naar zijn nieuwe werkgever, en een ander waar een personeelslid van een garageketen ter plaatse computerbestanden ontvreemdde.

Eén zaak

raakte vorig jaar in bredere kring bekend in België. Belgacom verdacht één van zijn medewerkers, een burgerlijk ingenieur, ervan vlak voor zijn overstap naar concurrent Telenet bedrijfsgevoelige informatie uit de computer te hebben gestolen. De telefoonoperator diende klacht in. De man werd aangehouden, maar nadien weer voorwaardelijk vrijgelaten. Dergelijke gevallen zijn eerder uitzondering. Computerinbraken komen zelden in de publieke belangstelling.

Particuliere vorm van justitie

“De bereidheid tot aangifte is erg laag bij de bedrijven,” geeft Patrick Van Troyen als verklaring. Hij is IT-security officer bij Alcatel-Cegelec. “Het bekendmaken van een dergelijke inbreuk kan reputatieverlies tot gevolg hebben.” Zo heeft hij weet van een geval van computerfraude bij de concurrentie waar informatie werd doorgelekt met contractverlies tot gevolg. Tot een aangifte kwam het evenwel niet.

Bedrijven kiezen veeleer voor een “particuliere” vorm van justitie, ook omdat het strafrecht in België niet aangepast is. Ons land beschikt nog steeds niet over een specifieke wetgeving die het inbreken in computersystemen strafbaar stelt. De rechtspraak en rechtsleer proberen zich te behelpen door computerinbraak te catalogeren onder bestaande inbreuken. Eensgezindheid ontbreekt echter, met rechtsonzekerheid tot gevolg.

Een bekend geval

is de Bistel-zaak van oktober 1988, waarbij een ex-kabinetsmedewerker van (toenmalig) eerste minister Wilfried Martens (CVP) en zijn handlanger toegang wisten te verkrijgen tot de elektronische brievenbus van de premier door zijn paswoord te gebruiken. De betrokkenen werden veroordeeld wegens “diefstal van gegevens” en “diefstal van elektriciteit”. In werkelijkheid hadden zij echter niets weggenomen, maar gegevens gekopieerd. Na een procedure in beroep werden de beklaagden dan veroordeeld voor het onderscheppen van berichten, op basis van de RTT-wet van 1930.

De politionele overheid is evenmin aangepast aan de technologische realiteit. Op 1 september 1997 werd de NCCU ( National Computer Crime Unit) bij de gerechtelijke politie geïnstalleerd, pakweg vijf jaar nadat daartoe officieel werd beslist. Deze cel overkoepelt en coördineert nu een vijftal lokale CCU’s, verspreid over de hoven van beroep in België. “We beheren het meldpunt voor kinderporno, doen opzoekingen op het Internet, bevorderen de contacten met andere instellingen, geven opleiding, coördineren en volgen de ontwikkelingen op de markt,” vatten Guy Verbeeren en Roland Walraet van de NCCU samen. Hun middelen in de strijd tegen de computercriminaliteit zijn echter beperkt. Zo beschikt de cel in Brussel over een jaarbudget van nauwelijks 3 miljoen frank.

Moet van de politie

worden verwacht dat zij technologisch voldoende gewapend is om een antwoord te bieden op de groeiende computermisdaad? Freddy Gevaert vindt van niet: “De overheid zal nooit dezelfde investering kunnen doen in technische kennis als de bedrijven in de privé-sector. Op dat vlak zullen we altijd achterophinken.” Waarom dan niet de bedrijven voor een deel de organisatie van hun veiligheidsbeleid in eigen handen laten nemen? Het succes van de niet-commerciële privé-organisatie CERT ( Computer Emergency Response Team) (*^{) binnen de Carnegie Mellon University in de VS bewijst dat dit mogelijk is. Dit informatie- en adviesplatform – opgericht in november 1988 en deels gesponsord door de overheid – geldt nu als het voornaamste Internet-kanaal voor IT-specialisten om veiligheidsproblemen en -oplossingen te signaleren.}

Een doorgedreven controle en monitoring van het netwerk is echter nog steeds de eerste vereiste om zich tegen computerinbraak te beschermen. En daar ligt het pijnpunt: slechts 61% van de IT-respondenten uit de studie van Information Week en Ernst & Young bleek dit op regelmatige wijze te doen. “In geval van een ernstig incident beschikken wij over een procedure om in een mum van tijd alle afdelingen in te lichten en de escalatie van het probleem te voorkomen,” aldus Patrick Van Troyen. Maar ook dit aspect wordt op brede schaal verwaarloosd. Slechts 60% van de IT-managers in de enquête gaf toe over zo’n noodplan te beschikken.

Er lijkt wel eerst een ernstig incident te moeten gebeuren, vooraleer bedrijven wakker schieten. Stijn Bijnens zei het al eerder in dit blad: “Veiligheid is een prachtig product om te verkopen, omdat je er IT-managers bang mee kan maken. Maar uiteindelijk moet het gezond verstand beslissen of een bedrijf zijn geld al dan niet wil investeren in beveiliging. Wij kunnen hen alleen maar wijzen op de mogelijke gevaren.”

(*^{) http://www.cert.org}

PIET DEPUYDT