DE MAFFIA VAN 2001 ?

Hij was vier jaar lang onderzoeker aan de KU Leuven en specialiseerde zich in het Internet en de beveiliging van computernetwerken in het algemeen. Uit die expertise groeide NetVision, een Leuvense academische spin-off, die vandaag verschillende grote banken en overheidsinstellingen onder zijn cliënteel telt. Computerbeveiliging is in België een onderschat probleem, vindt Stijn Bijnens (29j.). “Wij worden bijna dagelijks geconfronteerd met diverse vormen van computercriminaliteit,” zegt hij. “Maar het merendeel van die problemen komt zelden of nooit in de openbaarheid. De meeste bedrijven weigeren die zaken in de pers te brengen, uit schrik voor reputatieverlies.”

TRENDS. U spreekt van een dagelijks opduikend fenomeen ?

STIJN BIJNENS. Laten we zeggen dat er bijna dagelijks pogingen tot inbraak worden ondernomen op computersystemen van grote bedrijven en organisaties in België. Maar in 90 % van de gevallen blijft die poging zonder gevolgen. Een klant meldt ons dan dat hij vreemde dingen zag gebeuren op de log file van zijn centrale computer. Meestal blijkt het dan te gaan om een amateur die één of andere hacking tool wilde uitproberen, waardoor het alarmsignaal afging. Zo was er een tijdje terug veel heisa rond het product Satan. Die software was vrij op de markt beschikbaar en je kon er via het Internet de structuur van een computersysteem mee scannen en zo de eventuele zwakke plekken opsporen. Dergelijke inbreuken zijn hinderlijk maar ze blijven vrij onschuldig, als het bedrijfsnetwerk goed beveiligd is. Om de veertien dagen worden wij echter ook geconfronteerd met ernstiger incidenten. Dan praten we over zware technieken die aangewend worden om een bewuste inbraak van buitenuit langs het Internet te forceren.

Wat zijn de gevolgen hiervan ?

Het probleem is dat je niet altijd zeker weet of er effectief een inbraak is gebeurd of niet. Als een bedrijf niet over een waterdichte registratie beschikt en iemand kopieert bestanden uit de bedrijfsdatabank, dan vind je daar zelden sporen van terug. Meestal gebeurt de inbraak ook anoniem, vanuit een IP-adres aan één of andere illustere universiteit in Roemenië of Polen. Professionele hackers opereren zelden rechtstreeks van bij hen thuis.

Hoe kan men zich tegen die praktijken wapenen ?

Het beheer en de opvolging van een veiligheidssysteem laten vaak te wensen over. Enkel de financiële sector is zich goed bewust van het inbraakprobleem. Bij vele andere bedrijven is het huilen met de pet op. Er is dringend nood aan sensibilisering. Men onderschat het belang van een goed uitgebouwd veiligheidsbeleid. Vandaag kan geen enkele grotere computerafdeling nog zonder een professionele systeemadministrator. Ik verwacht dat de functie van veiligheidsadministrator even belangrijk zal worden.

Wordt het veiligheidsprobleem niet een beetje kunstmatig opgeklopt omwille van economische redenen ? Als commercieel specialist heeft u er alle belang bij om de risico’s dik in de verf te zetten.

Dat klopt. Veiligheid is een prachtig product om te verkopen, omdat je er IT-managers bang mee kan maken. Maar uiteindelijk beslist het gezond verstand of een bedrijf zijn geld al dan niet wil investeren in beveiliging. Wij kunnen er hen alleen maar op wijzen dat er gevaren zijn. Automatisering houdt risico’s in. Je kan één frank overschrijven en een miljoen keer één frank. In beide gevallen doet de computer dat in luttele seconden. Onachtzaamheid of fouten kunnen dramatische gevolgen hebben. Het is ook een illusie te denken dat elke hacker een amateur is die vanop zijn zolderkamer één of ander onschuldig softwareprogrammaatje uitprobeert. Dat is niet waar. Er zijn criminele organisaties van allerlei slag op het Internet actief, zij zijn de Jesse James‘en van de 21ste eeuw.

Hoe kan je bedrijven sensibiliseren, als de slachtoffers weigeren het probleem aan de oppervlakte te brengen ?

Je moet begrijpen dat een bedrijf dat het slachtoffer is geweest van een computerinbraak, erg kwetsbaar is. En niet alleen op het vlak van zijn reputatie. Zijn hele netwerk moet van nul af aan heropgebouwd worden om te vermijden dat de hackers een “Trojaans paard” achterlaten, een verborgen stukje software dat in staat is om interne informatie zoals de toegangscode opnieuw te laten uitlekken. Ik ben nog altijd van mening dat voorkomen beter is dan genezen. Er moet pro-actief opgetreden worden. Zo bestaat er in de VS een neutrale organisatie, het Computer Emergency Response Team (CERT) genaamd, dat gesponsord wordt door de overheid en dat met behulp van een website ( www. cert. org) elk nieuw probleem inzake computerbeveiliging publiekelijk signaleert. Wij brengen onze klanten regelmatig op de hoogte van die adviezen van het CERT. Ook in België zou een dergelijke organisatie moeten bestaan, deels gefinancierd door de overheid, deels door de privé. Sommigen stellen dat dit een taak is voor het regelgevende Belgische Instituut voor Post en Telecommunicatie (BIPT). Maar ik betwijfel of het BIPT de nodige expertise heeft om die erg specifieke problematiek aan te pakken.

De internationale zakenwereld evolueert steeds meer naar onderlinge netwerking. Wordt het zo niet stilaan tijd om eilanden te creëren, om het risico op fraude of computercriminaliteit te verminderen ?

Het is een illusie te denken dat een bedrijf zijn netwerk gesloten kan houden. Vroeg of laat volgt er een ontsluiting, al was het maar voor de personeelsleden die thuis of op de baan werken. En open netwerken zijn kwetsbaar voor misbruik van buitenaf. Het creëren van netwerkeilanden, zoals een Intranet dat slechts toegankelijk is voor een specifieke doelgroep, kan een oplossing bieden. Nu wordt zo’n 80 % van de firewalls geïnstalleerd om de bedrijven extern te beveiligen tegen het publieke Internet. Specialisten gaan ervan uit dat binnen twee jaar het merendeel van de firewalls gebruikt zal worden om de bedrijven intern te beveiligen. Zij zullen dienen als waterdichte schotten tussen de diverse Intranetten.

Is dat niet de omgekeerde wereld ? Netwerking dient juist om de onderlinge uitwisseling van informatie te bevorderen.

Ook in het autoverkeer heb je reglementen. Iedere autostrade heeft zijn op- en afritten. Dezelfde spelregels zullen ook van toepassing zijn voor computernetwerken. Niet om die netwerken aan banden te leggen, maar om de gegevens beter en op een veiliger wijze te kunnen verspreiden.

PIET DEPUYDT

STIJN BIJNENS (NETVISION) Uiteindelijk beslist het gezond verstand of een bedrijf zijn geld al dan niet in veiligheid investeert.