Je leest:

Dijken voor de digitale Delta

Dijken voor de digitale Delta

Auteur: | 1 september 2001

Een week voor de MKZ-uitbraak in Nederland legde het Anna-Kournikovavirus de pc’s van het ministerie van landbouw meer dan een dag lam. Had het computervirus een week later toegeslagen, dan hadden de ambtenaren op het ministerie geen digitaal document meer kunnen vinden, was er geen persbericht de deur uit gegaan en was de informatievoorziening naar de boeren geblokkeerd. Kleine oorzaken kunnen grote gevolgen hebben in de moderne informatie- en communicatiemaatschappij.

“Hoe meer een land betrouwbare voorzieningen heeft, hoe harder het wordt getroffen als zich dan toch een storing voordoet. Dat is de paradox.” Aan het woord is Eric Luiijf, consultant bij het TNO Fysisch en Elektronisch Laboratorium in Den Haag. Hij houdt zich bezig met informatiebeveiliging, privacybescherming, ICT in brede zin en internettechnologie in het bijzonder. Sinds 1996 verricht hij tevens onderzoek naar de militaire en civiele aspecten van ‘informatieoorlog’ en de kwetsbaarheid van de informatiesamenleving.

We weten niet meer hoe we moeten leven als iets uitvalt, zegt Luiijf. Onze hele logistieke keten is op de minuut gepland en nergens zit meer ruimte in. Woon je in een land met een _on_betrouwbare infrastructuur waar eens per dag de stroom uitvalt, dan heb je wel kaarsen en lucifers klaarliggen. In de moderne westerse maatschappij zijn we echter niet meer voorbereid op verstoringen. We accepteren ze ook niet meer. Kijk maar als zich storingen bij de Spoorwegen voordoen. Passagiers beginnen bijna een opstand.

Alles aan alles gekoppeld

Er zijn bedrijven waar de werknemers binnen een uur de deur uit lopen als de ICT-voorziening wegvalt. Als je het computernetwerk niet meer kunt gebruiken, dan ga je toch even een klant bellen? Maar nee. Het telefoonnummer staat alleen op de pc. Wat moest je nog meer doen? Even de agenda raadplegen. Maar die zit ook al op het computersysteem en niet meer in je hoofd. Menig werknemer heeft geen papieren versie meer.

Luiijf: “We leven in een tijd met een explosie aan informatie. In de jaren tachtig was er al een aantal visionairs in de VS die beweerden dat informatie het volgende economische goed zou worden waar om strijd om zou kunnen ontstaan”.

Bij Defensie realiseerde men zich de kwetsbaarheid van de informatiemaatschappij als eerste. Het nieuwe vakgebied van de Information Warfare ontstond, later omgedoopt tot Information Operation, een neutralere en meer algemene term. Vanuit dit van oorsprong militaire vakgebied is bezorgdheid gegroeid over de ICT-afhankelijkheid in de civiele maatschappij. Bezorgdheid bij een klein groepje specialisten dan wel te verstaan, want het heeft lang geduurd voor overheid en bedrijfsleven het probleem serieus gingen nemen. De Nederlandse defensie erkende het probleem weliswaar vroeg, maar meende dat het niet aan haar was voorop te lopen in de aanpak van ICT-zwakheden. Defensie vond dat een algemeen maatschappelijke taak.

Toen in de provincie Groningen een breuk optrad in vier naast elkaar liggende glasvezels stokten vele diensten: alarmlijnen, pinautomaten, vaste telefoonverbindingen. Maar ook het mobiele netwerk viel uit, en niet alleen dat van KPN. Omdat Libertel kabelruimte bij KPN had ingehuurd voor de verbinding tussen antennemasten, legden ook de mobieltjes van dit bedrijf het loodje. Ineens kwam de kwetsbaarheid van de ICT-structuur bloot te liggen.

Luiijf: “Onze ICT-maatschappij rent voort, we koppelen alles aan alles en denken dat het wel los loopt. Ministeries, defensie, de politie. Allemaal hangen ze aan Windows NT. Zit er een gat in, dan ligt de hele boel plat. We maken ons kwetsbaar. We moeten erkennen dat er problemen zijn en de bewustwording bij burgers, bedrijven en overheid vergroten. Laten we dus beginnen met het opwerpen van kleine dijken. Dan hebben we speelruimte voor als er een calamiteit aankomt.”

Single point failure

Vroeger beschikte Nederland over een aantal onafhankelijke infrastructuren, vertelt Luiijf. Het nationale noodnet liep bijvoorbeeld langs andere lijnen dan de glasvezels van de KPN. Terwijl Defensie nog steeds over een eigen glasvezelnet beschikt, zijn onafhankelijke infrastructuren verder grotendeels verdwenen.

Toch bestaan er wel degelijk communicatieontwerpen die single point failures – snij de kabels op een punt door en alles ligt plat – voorkomen: kabelsystemen in ringen of driehoeken bijvoorbeeld. In het algemeen leidt de huidige marktwerking er echter toe dat men het te duur vindt een extra lijn te trekken, of men vergeet het gewoon, heeft er geen oog voor. Zo ontwikkelt de maatschappij onbewust een kwetsbare achilleshiel.

Wie de verkeerde rijbaan op de snelweg neemt en tegen het verkeer inrijdt, hoort zichzelf binnen twee minuten als spookrijder op de radio, zegt de informatiedeskundige. Zo niet op de digitale snelweg. Volgens hem zou je ook hier een structuur moeten hebben waarmee je heel snel iedereen kan waarschuwen.

In het geval van het I love you-virus wist een grote firma in Nederland al om half acht ’s morgens dat een heel vervelend virus in aantocht was. Het virus had al redelijke verwoestingen aangericht in het Midden en Verre Oosten. Het bedrijf kon het bericht alleen maar op zijn eigen website zetten, naar eigen klanten sturen, maar verder niks. Tegen twaalven pikte een journalist het op en maakte ANP er melding van. Kostbare uren waren al verloren gegaan.

“We hebben een vertrouwd kanaal nodig dat de viruswaarschuwing snel oppikt en wereldkundig maakt. Om acht uur had het radionieuws al een viruswaarschuwing kunnen geven. Dan hadden we de schade ongetwijfeld beperkt. We hadden twintig miljoen gulden in onze zak kunnen houden.”

Het I love you-virus was nog redelijk onschuldig. Alleen een paar bedrijven ondervonden er last van. Als echter alle documenten en spreadsheets bij bedrijven om zeep waren geholpen, dan had het land een grote economische schade geleden. Als het Anna-Kournikovavirus het ministerie van landbouw tijdens de MKZ-crisis had lamgelegd in plaats van een week ervoor, wie weet wat voor paniek en chaos er dan was uitgebroken – door biologisch én digitaal virus.

Ketenafhankelijkheden

Luiijf en zijn medeonderzoekers hebben tot op heden vooral modelvormend onderzoek gedaan. Waar zitten knelpunten, waar zitten single point failures, hoe zorg je voor terugvalmogelijkheden? Interfaces tussen infrastructuren, bijvoorbeeld de overgang van email naar sms en het elektronisch betalingsverkeer, zijn vaak zwak uitgevoerd, zegt Luiijf. Uiteraard inventariseren ze ook alle ICT-storingen (zie kader).

Om de kwetsbaarheid van de moderne informatiemaatschappij te analyseren is een vijflagenmodel ontwikkeld [kader 1]. Aan de basis van het model ligt de elektriciteitsinfrastructuur. De diensten van overheden en bedrijven vormen de toplaag. Om die diensten te laten functioneren heb je echter niet alleen elektriciteit nodig. Het model onderscheidt drie lagen tussen top en bodem in. Kabels moeten informatie doorgeven en telefoon- en internetaanbieders moeten funvtioneren. Een infrastrucuur in het midden zorgt bijvoorbeeld nog voor domeinnamen of voor de notarisfunctie bij elektronisch verkeer. Zo ontstaat er een ketenafhankelijkheid waarbij elke laag alleen maar kan werken als de onderliggende lagen het doen.

“Elke partij uit een bepaalde laag zal best wel voor zichzelf zijn best doen”, zegt Luiijf, “maar als iedereen zijn eigen stoep schoonveegt, dan is de stad nog niet schoon. Er blijven veel plekken over die niet onder een persoonlijke verantwoordelijkheid vallen.”

Het is dus in ieders belang dat er gezamenlijk actie wordt ondernomen. Typisch iets voor de overheid, ware het niet dat diezelfde overheid zover mogelijk probeert terug te treden. Er moet volgens Luiijf een coördinerend orgaan komen dat wel dicht tegen de overheid aan zit: een vertrouwde partij die in binnen- en buitenland gezag heeft om daadkrachtig te kunnen communiceren.

Rapportcijfers

Luiijf vertelt dat de Amerikaanse regering zelfs haar rekenkamer heeft ingeschakeld om elk ministerie een rapportcijfer te geven voor informatiebeveiliging. Wie als leidinggevende twee keer een 5 heeft gekregen, kan een verdere topcarrière wel schudden. Zo motiveer je verantwoordelijken om maatregelen te nemen.

“De minister van landbouw wordt in Nederland echter helemaal niet afgerekend op het feit dat zijn ministerie meer dan een dag getroffen is door een computervirus. Geen enkele kamervraag, tenminste niet over de informatie-infrastructuur.” Nederland heeft al een aantal inspectieraden, zoals de rekenkamer voor de overheid en de gezondheidsraad voor de gezondheidszorg. Bij hen zou je volgens Luiijf ook de taak kunnen neerleggen om de informatiebeveiliging in hun sectoren te controleren.

Meten is weten, maar de TNO-deskundige erkent dat er momenteel geen harde cijfers bestaan over de schade die bedrijven en overheid lijden door kwetsbare infrastructuren. “Je zou eigenlijk in kaart moeten brengen hoe je verstoringen meet en hoe erg ze zijn. Zonder een betrouwbaar onafhankelijk instituut zijn die echter moeilijk boven water te tillen. Een bedrijf geeft niet zo maar gegevens prijs.”

Aan zo’n instituut wordt gewerkt. In 1999 stelde de Nederlandse staatssecretaris van Onderwijs, Cultuur en Wetenschappen reeds een denktank in: Infodrome. Infodrome inventariseert de maatschappelijke betekenis van ICT voor de overheid. Daarnaast moet de denktank het politieke debat over ICT voeden. Eind juni 2001 verscheen er een advies van het zogeheten ‘24 uur-ministerie Kwetsbaarheid ICT-infrastructuur’, georganiseerd door Infodrome. In het advies staat dat het huidige beleid onvoldoende is om de steeds toenemende afhankelijkheid van de ICT-infrastructuur te beantwoorden. De overheid zou er daarom verstandig aan doen een instituut op te richten dat kwetsbaarheden verkleint, zo luidt de aanbeveling.

ICT gaat vrijwel alle ministeries aan: Economische Zaken als het gaat om het economische belang; Verkeer en Waterstaat als het gaat om de kabels en telecom; veiligheid en openbare orde horen bij Binnenlandse Zaken; Defensie waar het nationale veiligheid betreft; Justitie voor de computercriminaliteit. Infodrome valt dan weer onder Onderwijs, Cultuur en Wetenschappen. Dat brede palet van verantwoordelijke partijen zorgt wel voor complicaties in de aanpak van het probleem. Ministeries willen nogal eens alles zelf doen.

Ook bedrijven als Shell, ING en KPN trekken zich het probleem inmiddels aan. Luiijf: “Weliswaar kost een aanpak van de kwetsbare infastructuur geld, maar als we niks doen kost het op termijn nog veel meer geld”. Het is duidelijk dát er een overlegstructuur komt, zegt Luiijf, alleen het hóe en wát zijn nog onbekend. Een ander probleem bij de aanpak van de zwakheden van de informatiemaatschappij is dat betrouwbaarheid een subjectief begrip is. Wanneer om twee uur ’s nachts het mobiele telefoonnetwerk uitvalt, zullen weinigen daar last van ondervinden. Als echter de elektriciteit uitvalt tijdens een belangrijke voetbalwedstrijd, dan breekt er chaos uit.

“Als Nederland de ambitie heeft van een Digitale Delta, zoals minister Jorritsma van Economische Zaken wil, dan moet ze ook voor betrouwbaarheid zorgen. Wie elektronisch handel willen drijven, moet met een hoge mate van zekerheid kunnen werken”, aldus de TNO-onderzoeker.

Dezelfde fouten

Universiteiten en hogescholen? Dat lijken logische kweekvijvers om deskundigen op het gebied van ICT-zwakheden op te leiden. Ondernemen zij actie?

Helaas niet tot nauwelijks, zegt Luiijf. Slechts een beperkt groepje mensen houdt zich er mee bezig. De richting informatica zou het thema veel meer moeten meenemen. “Mijn zoon studeert informatica aan de Haagse Hogeschool. In zijn studieprogramma vind ik het thema informatiebeveiliging nergens terug. De informatici die nu systemen bouwen, maken daarom nog steeds dezelfde fouten die iedereen al jaren maakt. Toen ik in 1975 bij TNO als systeemprogrammeur begon, haalde ik beveiligingslekken uit computerprogramma’s. Van diezelfde gaten maken hackers anno 2001 nog steeds misbruik. We hebben nog steeds niets geleerd van oude fouten.”

Informatieketenmaatschappij

Binnen de informatiemaatschappij kunnen we vijf lagen onderscheiden. Elke laag is voor een goed functioneren afhankelijk van de onderliggende lagen en in principe dus kwetsbaar voor verstoringen in die onderliggende lagen.

Toegevoegde waardediensten – Diensten van overheid, publieke en commerciële organisaties: handel via internet (e-commerce), 24-uursloket van de overheid, internetinformatiediensten aan automobilist

Infrastructuur middenlaag – Trusted Third Parties (een soort notariaat voor elektronisch verkeer), encryptie, domeinnamen

Transportdienst infrastructuur – telefoon, fax, internet, tv en radioaanbieders (netwerkinteractie)

Netwerkinfrastructuren – Verzorgt bittransport voor transportdiensten: telecomapparatuur, kabels, zenders, satellieten (kabels, golven)

Mogelijke verstoringen

Welke verstoringen kunnen de ICT-maatschappij verstoren?

-Natuurlijke oorzaken, technische verstroringen en onopzettelijk menselijk handelen

-Storingen door de ketenafhankelijkheid

-Opzettelijke menselijke verstoringen: Intern: veertig tot tachtig procent van de beveiligingsincidenten speelt zich hier af Extern: hackers, activisten, criminaliteit, computervirussen

Voorbeelden van recente verstoringen:

2 mei 2000 Duizenden bedrijven worden de dupe van een storing in het netwerk van de KPN in Den Haag. Door de storing vallen onder meer internetverbindingen uit, liggen interne telefoonnetwerken eruit en doen in sommige supermarkten de pinautomaten het niet meer. De problemen ontstaan in het Haagse netwerk waar een deel van de software het niet meer doet.

6 juni 2000 In het vliegverkeer boven Groot-Brittannië ontstaan grote problemen door een omvangrijke storing in een computersysteem dat de vluchten in het Britse luchtruim regelt.

23 februari 2001 Tot vijf keer toe zet iemand, steeds in een andere buurt van Utrecht, de stroom uit. De dader is diverse elektriciteitshuisjes binnengedrongen en heeft de stroom uit- en weer aangezet.

13 februari 2001 Diverse anti-virusexperts slaan alarm geslagen over een nieuw wormvirus, het Anna Kournikova-virus. Het virus wordt per e-mail verspreid. Internetters denken dat ze plaatjes van de Russische tennisster Anna Kournikova te zien krijgen. Het virus heeft al meer dan vijftig grote Amerikaanse bedrijven besmet en lijkt erg op het I love you-virus dat in het voorjaar van 2000 ongeveer 15 miljoen computers aantastte.

20 maart 2001 Californië is opnieuw getroffen door grootschalige stroomuitval. Net als eerder in januari heeft de Amerikaanse staat te maken met een enorm te kort aan elektriciteit.

4 mei 2001 Door een technische storing raken vierduizend belastingaangiftes zoek die tussen 12 maart en 25 april zijn verstuurd via het girotel zakelijk abonnement van de Postbank.

11 juni 2001 De Postbank heeft grote problemen met het telebankiersysteem Girotel. Handelingen als overboeken en het opvragen van het saldo zijn onmogelijk.

12 juni 2001 Een storing bij de Amsterdam Internet Exchange (AMS-IX) zorgt ervoor dat een groot deel van Nederland het dinsdag rond het middaguur zonder internet moet stellen. Het is nog niet bekend wat de oorzaak van de problemen is. AMS-IX is een vereniging die het knooppunt van al het internetverkeer in Nederland beheert en ervoor zorgt dat computers elkaar kunnen vinden.

24 juni 2001 Het treinverkeer tussen Dordrecht en Rotterdam ligt nagenoeg stil door een storing in de meldsystemen van de Willemspoorttunnel.

2 juli 2001 Duizenden pinpasbetalingen gaan de mist in door een storing. De vrees bestaat dat de problemen alleen maar groter worden als volgend jaar de euro wordt ingevoerd. Op een normale zaterdag vinden drie tot vier miljoen transacties plaats.

5 juli 2001 Een computerstoring in het sein- en bedieningssyteem van de Nederlandse Spoorwegen dupeert tienduizenden reizigers.

2001 Interpay, dat het pinbetalingsverkeer in Nederland regelt, adviseert burgers begin januari 2002, bij de introductie van de euro, pas vanaf 15 euro te pinnen. Gaan Nederlanders kleinere bedragen pinnen, dan sluit Interpay storingen niet uit. De detailhandel klaagt nu al dat Interpay niet in staat is het groeiende aantal pinbetalingen te verwerken.

Bron: Nieuwssite nu.nl

Meer weten over Bennie Mols:

Dit artikel is een publicatie van Natuurwetenschap & Techniek.
© Natuurwetenschap & Techniek, alle rechten voorbehouden
Dit artikel publiceerde NEMO Kennislink op 01 september 2001

Discussieer mee

0

Vragen, opmerkingen of bijdragen over dit artikel of het onderwerp? Neem deel aan de discussie.

NEMO Kennislink nieuwsbrief
Ontvang elke week onze nieuwsbrief met het laatste nieuws uit de wetenschap.