Peter Baeten
Er moet een speciale opleiding tot ‘internetingenieur’ komen om als maatschappij digitaal minder kwetsbaar te worden bij internetaanvallen.
Dat was een van de suggesties die vorige week werd gedaan bij het KIVI NIRIA-seminar ‘Nederland verbonden met een dun draadje’. Zo’n studie tot internetingenieur zou veel meer moeten inhouden dan alleen informatica en ook bestuurlijke en maatschappelijk aspecten van internetgebruik moeten omvatten.
De maatschappij is kwetsbaarder dan ooit voor uitval van internetdiensten en voor aanvallen via het internet op vitale voorzieningen, daar was brede overeenstemming over. Spreker Jaap van Till (emeritus hoogleraar): ‘Kwetsbaarheid is kans maal effect. Zowel de kans op een aanval als de mogelijke effecten van internetaanvallen zijn de laatste jaren toegenomen.’
Internet dringt immers steeds meer door in de fysieke wereld. De stemcomputer was het eerste voorbeeld waarbij juist een stap terug werd gedaan. ‘Je kunt je afvragen tot op welk niveau je door moet willen gaan’, stelde Ronald Prins, directeur van het bedrijf Fox-IT. ‘Internet komt bijvoorbeeld ook in het autoverkeer. Er zijn al plannen voor zelfrijdende auto’s. Maar hoe veilig is dat dan?’
Directe aanleiding voor de bijeenkomst waren de recente zogenoemde DDoS-aanvallen die onder meer het betalingsverkeer bij ING platlegden. Bij deze Distributed Denial of Service-aanvallen worden diensten, zoals internetbankieren bij een bepaalde bank, tijdelijk platgelegd door een bombardement aan verzoeken op de dienst af te vuren. Een relatief simpele simpele operatie, zo benadrukken de deskundigen.
Volgens Van Till is de bottle-neck bij het verhogen van de digitale veiligheid bij dit soort aanvallen niet zo zeer technisch. Het gaat nu vooral om bewustwording in de hogere bestuurlijke kringen, zowel bij de overheid als bij grote bedrijven. ‘Nederlandse politici nemen de huidige problematiek met cyberaanvallen en andere gevaren via internet niet serieus. Er is geen regie.’
Van Till pleit daarom onder meer voor de invoering van een vaste Kamercommissie Internet. Zo’n commissie is in het Duitse parlement recent al ingesteld. Deze commissie zou organisaties en infrastructuren voor netwerken in Nederland moeten doorlichten en zelfs personen in de top die te weinig kaas hebben gegeten van internetkwesties, moeten kunnen identificeren en uit hun functie verwijderen. ‘Die moeten dan maar gaan golfen of zo.’
‘In de Verenigde Staten en in het Verenigd Koninkrijk zie je de bewustwording het laatste jaar juist wel sterk groeien’, constateert een derde spreker op de KIVI NIRIA-bijeenkomst, consultant Eric Luijff van TNO. Volgens hem moeten ingenieurs ook de hand in eigen boezem steken en niet alleen naar de overheid wijzen. Luijff: ‘We willen toch heel graag toys for the boys. En het aspect veiligheid komt nog steeds vaak achteraf. We bouwen ict-diensten op het drijfzand van andere ict.’
Het goede nieuws is volgens Van Till dat het technisch niet heel erg ingewikkeld hoeft te zijn om de veiligheid te vergroten. ‘Het zit hem vaak in kleine, stomme it-dingetjes.’ Hij geeft als voorbeeld de Fyra-trein die bij de grens tussen Nederland en België steeds haperde. ‘Dat zat hem in een bepaald signaal dat net 200 ms te laat werd doorgegeven.’
Ronald Prins is minder positief. ‘We moeten niet de illusie hebben dat we veilige software kunnen maken. We moeten niet geloven in maakbaarheid. De parallel wordt vaak getrokken met de strakke regie in de luchtvaartwereld. Maar voordat het daar allemaal goed geregeld was, zijn er heel wat vliegtuigen uit de lucht gevallen’, relativeert Prins. Ook zet hij vraagtekens bij de voorgestelde opleiding tot internetingenieur. ‘Ik vraag me af of je dit aan een universiteit echt onder de knie kunt krijgen. Dat kan wellicht beter in de praktijk gebeuren.’
Er is waarschijnlijk een goede ramp nodig om iedereen écht wakker te schudden, vinden de drie sprekers. En dat gaat volgens hen onvermijdelijk een keer gebeuren. Prins: ‘Ik heb me vaak afgevraagd waarom terroristen zich niet vaker richten op internet om een samenleving hard te treffen. Het antwoord blijkt dat terroristen letterlijk bloed willen zien.’
Luijff: ‘Het zou in sommige opzichten wel eens goed zijn als er drie dagen niet kan worden gepind. Dan krijg je waarschijnlijk een opstand in de straten.’
