54e FD Column: Internet is fundamenteel onveilig en zal er ook na de Supermicro-hack niet veiliger op worden

Deze column stond in Het Financieele Dagblad van 18 oktober 2018. Volg deze link voor mijn eerdere FD columns.

Het was even wereldnieuws en toen weer niet. Bloomberg Businessweek pakte op de voorpagina van 4 oktober groots uit met de claim dat Chinese spionnen de distributieketen van Amerikaanse servergigant Supermicro hadden geïnfiltreerd. Meer dan 30 grote Amerikaanse afnemers van Supermicro, waaronder Apple en de cloudreus Amazon, waren gehackt en af te luisteren door China. Kortom, China zou al jaren een groot deel van het Amerikaanse internet in haar macht hebben.

 

Illustratie: Hein de Kort voor het FD
Illustratie: Hein de Kort voor het FD

 

Supermicro, Apple, andere bedrijven en Amerikaanse overheidsfunctionarissen ontkennen het nieuws hardnekkig. Daarmee is de mediastorm voorlopig gaan liggen. Technische experts duiden het nieuws als geloofwaardig, maar de hack als omslachtig en riskant – er zijn simpeler manieren om met een kleinere pakkans hetzelfde effect te sorteren.

Of de Supermicro hack nu (deels) klopt of niet, het nieuws herinnert ons aan het feit dat internetcommunicatie fundamenteel onveilig is door twee wederzijds afhankelijke krachten: prijsdruk, en de niet te stillen hackhonger van machtige inlichtingendiensten. Cyber security is immers niet zozeer een technisch, maar een economisch en politiek probleem. De hamvraag is dus, hoeveel geld en macht daadwerkelijke cybersecurity ons waard is. 

Hoorzitting Senaat

De journalisten van Bloomberg zeggen dat 17 anonieme bronnen hebben bevestigd, dat Chinese inlichtingendiensten in meerdere Chinese fabrieken stiekem een onbekende chip hebben geplaatst op een generatie servers van Supermicro. Deze minichip, ter grootte van een rijstkorrel, gaf Chinese inlichtingendiensten een ‘achterdeurtje’ om van afstand en ongemerkt alle informatie op de servers bij de genoemde organisaties binnen te harken.

De claim en enscenering van Bloomberg waren zo gelikt, de mogelijke gevolgen zo groot en de ontkenning van (de juristen van) de machtigste internetbedrijven ter wereld zo stevig, dat de Amerikaanse Senaat vorige week een hoorzitting gelastte. Zoals altijd blonk de hoorzitting uit in krachttaal en ontbrak nuchtere analyse. Wat is nu de kern van het probleem? En waarom lekten de anonieme bronnen uit de Amerikaanse inlichtingenwereld juist nú het beveiligingslek naar de media?

In de kern is het internet al decennia fundamenteel onveilig door twee wederzijds afhankelijke krachten: geld en macht. Met name Microsoft ontketende begin jaren ’90 een ware prijsoorlog in de wereld van hard- en software. Liever nog gisteren dan vandaag goedkope computers, servers en connectiviteit voor iedereen. Beveiliging en kwaliteit waren zorgen voor morgen. Het is algemeen bekend dat het kwalitatief betere Apple met de Mac toen de strijd van de goedkopere Microsoft met de Windows PC verloor, maar de prijzenoorlog leidde ook tot vergaande specialisatie en het verplaatsen van de productie naar lagelonenlanden, zoals China.

In alle internetlagen vinden wij dezelfde veiligheidsproblemen terug: hardnekkig marktfalen dat door machtige inlichtingendiensten structureel wordt geëxploiteerd

De distributieketen van een pc, of een server, is onvoorstelbaar complex en mondiaal verknoopt. Tientallen, misschien wel honderden bedrijven produceren met elkaar de halfgeleiders, chips, processoren en software voor één eindproduct. Vrijwel niemand heeft tijd, geld of in economische termen een prikkel om verantwoordelijkheid te nemen voor cybersecurity in zo’n ingewikkelde distributieketen. Elkaar van lieverlee vertrouwen, af en toe een schikking treffen en vooral de consument dom houden is de enige optie om tot een eindproduct te komen, dat qua prijs in de buurt komt van het product van de concurrent. Dit verklaart de hardnekkige ontkenning van de betrokken bedrijven, zegt ook de gerenommeerde en aan de Harvard University verbonden securityexpert Bruce Schneier op zijn blog.

Je zou zeggen dat het, net als bij luchtvervuiling, een klassieke en schone taak voor de overheid is om de tucht van de markt te corrigeren. Maar diezelfde overheid maakt voor spionagedoeleinden dankbaar gebruik van alle kwetsbare technologie. Klokkenluider Edward Snowden liet in 2014 zien dat de Amerikaanse inlichtingendienst NSA op grote schaal internetrouters van Cisco van achterdeurtjes voorziet. Sterker nog, meestal weten de net iets slimmere hackers van de NSA precies wat hun Chinese collega’s kunnen, en luisteren ze mee.

Hardnekkig marktfalen

Zulke informatie is natuurlijk staatsgeheim en wordt niet gedeeld met de betrokken bedrijven. Mogelijk had China inmiddels ontdekt dat de NSA meeluisterde, en was dit de reden voor de NSA om dan nu maar het verhaal naar Bloomberg te lekken. Hoe dan ook, China staat zeker niet alleen in de wereld van hardwaresabotage. De veroordelende Amerikaanse ambtenaren hebben nogal veel boter op het hoofd.

In alle internetlagen vinden wij dezelfde veiligheidsproblemen terug: hardnekkig marktfalen dat door machtige inlichtingendiensten structureel wordt geëxploiteerd. In eerdere publicaties stelde ik deze dynamiek al vast voor https- en cloudcommunicatie. Geld en macht spelen ook een cruciale rol bij alle beveiligingsperikelen rondom het internet der dingen. Ook de recente Supermicro hack is waarschijnlijk een variatie op hetzelfde thema.

Iedereen heeft de mond vol van cybersecurity tegenwoordig. Om onze informatiesamenleving adequaat te beveiligen, moeten afnemers meer betalen voor dezelfde producten én zijn nogal rigoureuze maatregelen nodig die marktfalen corrigeren en machtige inlichtingendiensten beteugelen. Het zal helaas een reeks ernstige cybersecuritydrama’s vergen, die wat langer wereldnieuws blijven, wil het zover komen. Tot die tijd blijft het internet fundamenteel onveilig.

Leave a Reply to Anonymous

Your email address will not be published. Required fields are marked *