36e FD Column: Massale cyberaanvallen aanpakken met regulering softwaremarkten

Klik op het plaatje om de column uit de krant te lezen. De tekst staat ook hieronder omdat Hans daar altijd om zeurt. Volg deze link voor mijn eerdere FD columns.

Massale cyberaanvallen aanpakken met regulering softwaremarkten

Nadat ziekenhuizen, fabrieken en ministeries wereldwijd dagenlang stokten door een mondiale cyberaanval, is het grootste gevaar van het WannaCry-virus geweken. Nu rijst natuurlijk de vraag hoe we de volgende cyberstorm voorkomen en wie verantwoordelijk is voor schade. In onze informatiesamenleving ontstaat in rap tempo een digitaal kerkhof van miljarden onveilige internetapparaten: niet alleen pc’s, maar ook webcams, fabrieksmachines, mri-scanners en andere internetdingen. Zo’n digitaal kerkhof is het doelwit én het instrument van cybercriminelen en poets je niet weg met spionagebevoegdheden en geld. Leveranciers moeten internetapparaten veilig op de markt brengen en houden. Tijd voor softwareregulering.

Illustratie: Hein de Kort

 

WannaCry beheerste een paar dagen wereldwijd het nieuws, maar grootschalige ransomware-aanvallen, DDoS-blokkades van internetbankieren en spamtsunami’s van Nigeriaanse prinsen teisteren de digitale wereld al decennialang. Experts zien in het WannaCry-incident niet iets nieuws, alleen een bevestiging dat de schaal en de impact van zulke aanvallen toenemen.

In de jaren 80 en 90 waren cyberaanvallen vooral het product van hobbyhackers die opschepten over hun kunsten of leveranciers wilden dwingen de gapende gaten in hun software te repareren. Sinds de internetexplosie medio jaren 90 zijn serieuze cybercrime-syndicaten ontstaan die miljoenen buitmaken met gestolen creditcardgegevens en gijzelsoftware. Met de opkomst van het ‘internet der dingen’ richten zij hun pijlen niet alleen op data, maar ook op de fysieke wereld. WannaCry legde de productielijn van Renault, het Spaanse Telefonica en hartpompen in Britse ziekenhuizen lam. Naast doelwit zijn deze kwetsbare internetapparaten ook het aanvalswapen van cybercrime. Net als griep verspreidt cybercrime zich juist via slecht beveiligde internetdingen.

Niet opgelost

WannaCry-gijzelsoftware niet opgelost met meer geld en spionagebevoegdheden

Connectiviteit en cybercrime gaan dus al decennia hand in hand, maar de beveiligingsvereisten voor software blijven steevast achter. Al jarenlang mogen leveranciers miljarden onveilige webcams, ijskasten en auto’s op de markt brengen en bestaat er geen harde juridische verplichting hun software up to date te houden. Juist in het internet der dingen zijn structurele software-updates, het belangrijkste wapen tegen massale cyberaanvallen, niet de regel maar de uitzondering. Bij gebrek aan wetgeving geldt namelijk de tucht van de markt van netwerktechnologie: zo snel mogelijk een halfbakken product lanceren en gebruikers aan je platform binden, en daarna misschien de beveiligingslekken dichtplakken met updates. Maar zulke updates zijn geen verplichting, soms onmogelijk en voor gebruikers vaak vermoeiend. En zo is een mondiaal kerkhof van miljarden digitale zombieapparaten ontstaan dat een gevaar vormt voor zichzelf en de gehele digitale omgeving.

Na cyberaanvallen hoor je altijd weer dezelfde cyberconsultants in de media pleiten voor ‘meer geld’ (dus meer opdrachten) of traditionele veiligheidsexperts, zoals Ko Colijn van Clingendael, voor inlichtingendiensten die continu het hele internet afluisteren om cyberboeven te vangen (NRC 15 mei). Dat plan is door de decentrale en open opzet van het internet niet alleen technisch onuitvoerbaar, maar ook de kernbom onder onze grondrechten en de grootste wens van dictators. Beide schijnoplossingen poetsen het mondiale digitale kerkhof niet weg.

In apparaten zelf

De kern van de kwetsbaarheid zit in de onveilige software van de internetapparaten zelf

De kern van de kwetsbaarheid zit in de onveilige software van de internetapparaten zelf. Kersverse cybersecuritywetten uit Brussel en nu in behandeling in de Eerste Kamer verplichten ‘kritieke infrastructuren’ als energiebedrijven, (lucht)havens en banken in vage termen IT-systemen op orde te hebben. Maar zij zijn slechts afnemers van IT. Recht en beleid moeten voor IT-leveranciers veiligheidsnormen, updateverplichtingen en aansprakelijkheid bij verwijtbare fouten voorschrijven. Uiteraard is tolerantie voor complexiteit en ademruimte voor innovatie essentieel. Als het digitale kerkhof maar wordt opgeruimd. De markt produceert niet als vanzelf cybersecurity en de aanvallen nemen in schaal en ernst toe.

Cybersecurity is geen technisch probleem, maar een vraagstuk van marktordening. Leveranciers hebben onvoldoende marktprikkels om software veilig te krijgen en te houden. Cybersecurity is een publiek goed en het mondiale digitale kerkhof een uitwas van marktfalen. Meer geld voor overlegclubs en spionnen maken onze informatiesamenleving niet veiliger, scherpere internationale regulering van softwarekwaliteit wel.

Axel Arnbak is advocaat bij De Brauw Blackstone Westbroek en onderzoeker aan het Instituut voor Informatierecht (UvA). Reacties: @axelarnbak

 

30 thoughts on “36e FD Column: Massale cyberaanvallen aanpakken met regulering softwaremarkten”

  1. I would not pretend to realize precisely why, however I personally could not hope to truly uncover what I was ready after. I had been perplexed and this very article cut through the common solutions that only demonstrate deficiency of content. Thank you a lot.

  2. After looking over a few of the articles on your site,
    I honestly appreciate your way of writing a blog.
    I added it to my bookmark site list and will be checking back soon.
    Please check out my web site as well and let me know
    your opinion.

  3. ozkxobwenu,Thanks for ones marvelous posting! I actually enjoyed reading it, you will be a great author.I will always bookmark your blog and will dhdtsbjkjx,come back from now on. I want to encourage that you continue your great writing, have a nice afternoon!

  4. rcatxmjek,We have a team of experts who could get you the correct settings for Bellsouth net email login through which, you can easily configure your email account with MS Outlook.

  5. ndfajclhov,We have a team of experts who could get you the correct settings for Bellsouth net email login through which, you can easily configure your email account with MS Outlook.

  6. cswkckmfnAdidas Yeezy,Definitely believe that which you said. Your favourite justification appeared to be on the net the simplest thing to remember of.

  7. Hi there, just became alert to your blog through Google, and found that it’s really informative. I am going to watch out for brussels. I’ll be grateful if you continue this in future. Lots of people will be benefited from your writing. Cheers!

  8. fnhikdmprec,Thanks for ones marvelous posting! I actually enjoyed reading it, you will be a great author.I will always bookmark your blog and will afcwmncelqy,come back from now on. I want to encourage that you continue your great writing, have a nice afternoon!

  9. Hi there, I think your web site could possibly be having internet browser compatibility problems. Whenever I take a look at your blog in Safari, it looks fine however when opening in IE, it has some overlapping issues. I just wanted to provide you with a quick heads up! Besides that, wonderful website!

  10. IMF Managing Director Christine Lagarde said the global economy was “a subtle “Time” and pointed out that “the tension in the international trade has brought significant downside risks to the global economy.”

Leave a Reply to Nike React Element 87 Cancel reply

Your email address will not be published.