‘Terrorisme is een oorlogshandeling.’ Met die woorden zette president Bush de toon van de reacties in de VS en de Nato, meteen al op de dag van de aanvallen. De echo van die woorden is nog lang niet verstomd. Volgens velen is de 21ste eeuw op dinsdag 11 september 2001 echt begonnen. Volgens Paul Strassmann, intelligent deskundige in ict-zaken, columnist van Computerworld en opmerkelijk goed ingevoerd in de wereld van het Pentagon en het Witte Huis, zal het na die zwarte dinsdag ook in de ict-branche nooit meer worden als vroeger:
Bush verklaarde zijn dreigende woorden tevens van toepassing op alle mensen die terroristen een veilig onderdak bieden. Daarom heeft die uitspraak ook voor de ict verstrekkende consequenties. Iemand die een server heeft en deze onvoldoende beschermt, is daarvoor verantwoordelijk. Als die server gebruikt wordt in een dos-aanval (denial of service) op internet, zijn onderneming en systeembeheerder daarvoor aansprakelijk.
De staat zal invloed willen krijgen op de verantwoordelijken, net als dat in andere beroepsgroepen al langer gebruikelijk is. Ik voorspel dan ook dat chief information officers (cio’s) en netwerkbeheerders binnenkort een vergunning van de overheid nodig zullen hebben. Ze hebben zich dan te schikken naar een gedragscode en zijn strafrechtelijk aansprakelijk voor nalatigheid. Internet, communicatie en computers zijn zowel de dragers van welvaart door geavanceerde technologie als potentiële bronnen van sociale kwetsbaarheid. Daarom kan de staat niet anders dan de mensen die internet beheren of draaiend houden verantwoordelijk maken voor mogelijke schade.
Dat is één kant van de medaille. Aan de keerzijde bevinden zich de leveranciers van software. Die bouwen naar mijn mening software die vanuit beveiligingsstandpunt bezien gebrekkig is. Niet uit boze opzet, maar uit marketingoverwegingen; veiligheid is immers lastig en kostbaar. De aanbieders van software zullen voortaan moeten voldoen aan heel hoge kwaliteitseisen van de overheid. Ook ondernemingen die actief zijn in sleutelsectoren van de economie als electriciteit, water, gas, financiering, transport en brandstof zullen zich aan strenge (federale) controle moeten onderwerpen.
Want één ding staat buiten kijf: de beste manier om alles tot stilstand te brengen is het electriciteitsnet aan te vallen. En ook dat net wordt door een netwerk bestuurd en beheerst! De regering zal dus een aantal controle- en veiligheidstaken op zich nemen om de informatievoorziening te waarborgen. Net als sinds een paar weken de verantwoordelijkheid voor de bagagecontrole is afgenomen van luchtvaartmaatschappijen.
Bent u zich sinds zwarte dinsdag meer bewust geworden van mogelijke aanvallen op de ict-infrastructuur?.
Nee, nee. Ik geef les in informatie-terrorisme aan het War College in Fort McNeir. Dat mag je met recht de nationale defensie-universiteit van de VS noemen. Bovendien werk ik voor Dick Cheney, de vice-president. Dus schrikken, nou nee. Ik twijfel er daarentegen volstrekt niet aan dat ergens op de wereld iemand vrij uitgewerkte plannen heeft om het mondiale internet voor een dag of twee plat te leggen. Code Red van enige tijd terug was zuiver een voorvertoning. Die plannen komen niet in de plaats van fysieke aanvallen met vliegtuigen op plekken met een hoge symbolische waarde. Ze komen erbij, als een soort virtuele boobytrap. Wat militairen een gecombineerde aanval noemen. Een tweetraps-aanval dus, eerst fysiek en vervolgens virtueel. Al was het alleen maar omdat de mate waarin de maatschappij in staat is te reageren op zo’n calamiteit in steeds belangrijker mate afhankelijk is van het normaal functioneren van informatiesystemen in een netwerk.
De huidige configuratie van internet en andere netwerken is helaas in toenemende mate onderhevig aan wat we noemen ‘cascading failure’: een voorziening die als een kaartenhuis in elkaar stort. Dat gold letterlijk voor de torens van de WTC in New York, dat geldt overdrachtelijk ook voor een aanval op een ander politiek beladen doelwit als internet.
Het waarschijnlijkste doel is een Microsoft-server met een Windows server-architectuur. Die is immers behept met mini-compromissen, die voortdurend middels patches worden opgelapt. Ondanks alle patches en fixes zit het fundamentele probleem nog steeds in de software ingebakken. Om goede redenen, of misschien wel om heel bewonderenswaardige redenen heeft Microsoft een server-architectuur gebouwd die het doorgeven van informatie tussen machines vrijelijk toestaat. Met andere woorden: de terroristen kunnen experimenteren met de injectie van virussen of wormen om te zien hoe snel die zich vermenigvuldigen en hoe snel de tegenmaatregelen van de grond komen.
Dat klinkt net of het een laboratorium is.
Dat is het ook absoluut. Het wordt voortdurend uitgetest, straffeloos uitgetest. En een dezer dagen gaat het mis, misschien omdat een bepaalde release of patch niet goed gedaan is, of dat die een probleem oplost maar de sluis naar andere openzet. Dan gaat het net exponentieel plat.
U vindt dat de gebeurtenissen op dinsdag de elfde van enorm belang zijn geweest voor de ict-bedrijfstak, met name vanuit beveiligingsoogpunt. Wat is naar uw mening de achtergrond van die terreuraanslagen?
Ik vind wat er gebeurd is inderdaad een mijlpaal in de geschiedenis van de automatisering. Het begint tot ons door te dringen dat vanuit een politiek en historisch perspectief er een massieve en toenemende oppositie is tegen de snelheid waarmee mondialisering bevorderd en gekoesterd wordt door de informatietechnologie. Oppositie dus tegen de wereldwijde rationalisering van de bedrijvigheid die geresulteerd heeft in een consolidatie van rijkdom op ongekende schaal.
Dat heeft geleid tot steun uit de bevolking aan groepen die een rem willen zetten op de groeiende economische macht van de westerse wereld. Daar bovenop komt de rijzende ster van orthodoxe religieuze groeperingen. Die zien hun invloed tanen door de secularisatie van de cultuur, de ethiek, de mores en de gedragscodes. Dat levert een buitengewoon brandbaar mengsel op, niet ongelijk aan dat wat Europa teisterde aan het begin van de vijftiende eeuw. En zoals u wellicht weet was Europa aan het eind van de Dertigjarige Oorlog bij de Vrede van Westfalen (1648; in Nederland bekend als de Vrede van Münster, die een eind maakte aan de Tachtigjarige Oorlog) 30 procent van zijn bevolking kwijtgeraakt aan een religieuze oorlog die niemand nu nog wat zegt.
In die zin was het WTC niet het echte doelwit, maar slechts een icoon van de wereldomvattende informatiemaatschappij, de mondiale economie. Centrum van die aanval is vanzelfsprekend de Verenigde Staten, die een enorme concentratie van economische macht tot stand hebben gebracht. Met name door het pionieren in de mondiale informatietechnologie, op dezelfde manier als Holland de pionier was van de boekdrukkunst en Groot-Brittannie van de stoommachine. Ik zie de aanval op het WTC als de uitkomst van een historische ontwikkeling die misschien al dertig jaar aan de gang is en die gebaseerd is op historische precedenten die eeuwen teruggaan.
De bulls eye van de weerstand tegen de mondialisering is de vernietiging van de vrije stroom van informatie over internet. Dit betekent dat de terroristen hebben onderkend dat internet fundamenteel kwetsbaar is, gebaseerd als de internet-protocollen zijn op vrijheid, goede wil en samenwerking. Als internet inderdaad voor een aantal dagen plat gaat, breekt de hel los.
Wat ik u vertel is heus niks nieuws. De geschiedenis beweegt zich voorwaarts in drama’s. Maarten Luther die zijn stellingen op een kerkdeur in Wittenberg spijkert, Kroestjov die met zijn schoen op het spreekgestoelte hamert in de Verenigde Naties, Jeltsin die op een tank klimt voor het parlementsgebouw in Moskou. Historie in de vorm van een groot drama, net als het inslaan dus van de Boeings in de twin towers van het World Trade Center, het Pentagon en een bos in Pennsylvania.
Aanvallen en verdedigen
Het beveiligen van een netwerk is een bewapeningswedloop waarbij de aanvallers altijd in het voordeel zijn.