Computerterrorisme

Ik ben niet erg pessimistisch, maar ik raak de laatste tijd erg bezorgd door de aanvallen van hackers op internetsites. Tot nu toe was het voornamelijk irritant, maar de kwaadaardigheid van de aanvallen lijkt toe te nemen. De meest algemene vorm van een aanval lijkt infectie met virussen die schade toebrengen aan computersystemen, soms met vervelende gevolgen voor commerciële bedrijven.

De aanvallen lijken slechts sporadisch gericht op consumenten. Dat vergroot mijn bezorgdheid, omdat het betekent dat het commerciële zakenleven het doelwit is, dat er niet vaak sprake is van een grap, en dat de aanvallen dus kwaadaardiger worden.
Internet bood enorme kansen aan hackers, die het met name gemunt hebben op de zwakke plekken van het Windows-besturingssysteem op servers.
Computerfraude is niets nieuws, het bestaat al jaren. Maar nu krijgt een aanval op internet veel publiciteit, terwijl fraudegevallen in het verleden werden stilgehouden. Normaliter werd de fraude gepleegd door werknemers van het bedrijf, en niet door onbekende individuen ergens ter wereld. De huidige situatie zal niet veranderen, en ondernemingen moeten waken voor zowel intern als extern computervandalisme.
Frauduleuze transacties zijn duidelijk een directe vorm van diefstal, terwijl de verwoestende virussen, simpeler van aard, de bedrijven ook indirecte kosten bezorgen. Daarbij gaat het om de tijd die men kwijt is met het downloaden en implementeren van patches voor software, de verstoring van de normale werkzaamheden, inclusief de gevolgen voor de klanttevredenheid. De meeste bedrijven besteden veel geld om hun systemen veiliger te maken, en dat blijkt een continue inspanning. Momenteel vormen de commerciële systemen het doelwit van vandalisme, maar dat zijn niet de enige computersystemen die via het Web te benaderen zijn. Vanwege eisen die onderhoud en bediening op afstand opleggen, is er een groot aantal proces- en andere industriële systemen verbonden met internet. Een hacker is niet geïnteresseerd in een aanval hierop, maar ze vormen een uiterst aantrekkelijk doelwit voor vandalen. Het kan om kwaadaardigheid gaan, maar de dreiging van terrorisme is verontrustender. Industriële systemen hebben in het algemeen robuustere software dan het gemiddelde kantoorsysteem, net zoals mainframes worden ingezet voor bedrijfskritische applicaties. Maar ze kunnen aan dezelfde netwerken hangen als de kantoorsystemen, en dus zijn ze bereikbaar. Er zijn uiteraard meer vaardigheden vereist om in te breken in de robuustere systemen, maar over het daartoe benodigde kapitaal kunnen terroristen beschikken.
Het gaat niet alleen om internet; met genoeg motivatie (en geld) zijn ook particuliere netwerken te hacken. Het is een kwestie van schaal en vaardigheid, en in dit geval is inside-kennis van onschatbare waarde. Er zijn heel wat inbraken op netwerken gemeld, bijvoorbeeld op de systemen van het Witte Huis. Het ministerie van defensie in de VS meldde 250.000 pogingen per jaar. Dit zijn de gedetecteerde gevallen. Ik ben benieuwd hoeveel er niet gedetecteerd worden. Niet veel waarschijnlijk, maar dat is ook niet nodig om chaos te creëren. Het potentieel voor cyber-terrorisme is angstaanjagend. Het zou mogelijk kunnen zijn om de controle over te nemen van een kernreactor of een elektriciteitscentrale. Landen kunnen gechanteerd worden; dat is een veel groter probleem dan financiële fraude. In de toekomst kunnen terroristen het gebruik van bommen opgeven, en zich toeleggen op het veroorzaken van grootschaliger rampen, op gang gebracht door het in de greep krijgen van kritische computersystemen. Het meest verontrustende aspect is dat het een wereldwijd probleem is. De nadruk op educatie en lage lonen heeft geleid tot een explosie van technisch talent in de derdewereldlanden. Veel programmeerwerk wordt tegenwoordig uitbesteed. Het duidelijkste voorbeeld is het Code Red virus, dat schade aanrichtte onder de servers met Windows IIS. Het virus is vermoedelijk afkomstig uit China, en is duidelijk gericht op het lamleggen van het Amerikaanse zakenleven. Maar door de globalisering kan iedereen zich in de vuurlinie bevinden. Tot nu toe heeft de VS de meeste terroristische aanvallen die in de wereld van vandaag steeds algemener worden, weten te ontwijken (deze column is geschreven voor de aanslagen op het WTC en het Pentagon, red.), maar ze zijn in de toekomst even kwetsbaar, zoniet meer voor computerterrorisme. Het is een grimmig scenario, waarvoor we op eigen risico de ogen sluiten.