Cybercrime; preventie vs. repressie

<Webwereld column>

Cybercrime en cyberoorlog zijn op dit moment de hippe termen om als overheid extra middelen en mogelijkheden te verwerven. Als men cybercrime kan combineren met de distributie van afbeeldingen van kindermisbruik (ook wel bekend als kinderporno) is het helemaal prijsschieten. Dan mag bijna alles. Wat daarbij vreemd blijft, is dat al die aandacht gaat naar het distribueren van afbeeldingen, terwijl het toch om die kinderen zou moeten gaan. Ik heb nooit helemaal begrepen hoe die kinderen worden beschermd door het filteren op die afbeeldingen.

Bart Schremer gaf afgelopen week in zijn opiniestuk een overzicht van de vragen waar opsporingsinstanties mee zitten. Enerzijds verwacht de samenleving (of liever het mediasysteem) van wetshandhavers dat alle misdaad onmiddellijk en perfect wordt opgelost, en dan liefst ook nog voor een bescheiden budget. Anderzijds willen de meeste Nederlanders nog steeds liever geen politie-staat naar Noord-Koreaans of Amerikaans model.

Maar wat in alle discussies over toelaatbare opsporingsmethoden, (cr)(h)ackende KLPD-ers en crime-fightende politici ontbreekt, is de vraag waarom cybercrime zo enorm gegroeid is. Het feit dat we veel meer en complexere IT gebruiken zal daar zeker aan hebben bijgedragen. Maar een belangrijke andere factor is de enorme digitale ongeletterdheid onder verreweg de meeste burgers en een extreme technische mono-cultuur op de desktop. Afgezien van wat slappe voorlichtingscampagnes doet de overheid er weinig aan burgers echte kennis en volwassenheid bij te brengen.

Als je al wat langer online zit (=langer dan 15 jaar) is het lastig je voor te stellen dat veel internetgebruikers van vandaag helemaal niet weten hoe een URL in elkaar zit. Met de browsers van vandaag is dat ook niet meer zo nodig. Vaak zie ik mensen een naam van een site in Google intikken (die als homepage ingesteld staat) en daarna doorklikken. En dus voert men ook zonder blikken of blozen bankgegevens in op helpdesk.br.ru/ING, of iets dergelijks. Want het logo stond in de mail en het is toch de helpdesk van de ING? Als mensen het verschil zouden snappen tussen een top level domein en de rest van de URL, kunnen ze zelf waarschijnlijk wel bedenken dat hun ING bank niet in Rusland huist.

Een van de belangrijkste oorzaken van het succes van cybercrim is dus de diepe onwetendheid van de meeste computergebruikers. Deze onwetendheid wordt mede veroorzaakt door een onderwijssysteem dat op trucjes traint in plaats van dat het mensen echt inzicht biedt. Het ‘computerrijbewijs’ is gewoon een cursus MS-Windows & MS-Office en geeft geen enkel inzicht in wat een computer doet of hoe netwerken functioneren. Niet dat iedereen tot systeemprogrammeur hoeft te worden opgeleid, maar en set minimale inzichten (zoals het kunnen ‘lezen’ van een URL) zou al veel leed kunnen voorkomen.

Daarnaast blijft de enorme monocultuur van computersystemen een groot probleem dat de overheid nog steeds actief groter maakt. Zo is het in Nederland vrijwel onmogelijk de middelbare school af te maken zonder toegang tot een systeem met MS-Windows en MS-Office. Een school besturen en gefinancierd krijgen is nog veel moeilijker. Studeren aan veel universiteiten is zonder Google-account in hoog tempo onmogelijk aan het worden en voor het functioneren aan andere instellingen is een Facebook-account verplicht.

De Tweede Kamer, horend de beraadslaging, constateerde in 2002 al dat software een cruciale rol speelde in de kennissamenleving, en dat de aanbodzijde van de softwaremarkt op dat moment sterk geconcentreerd was. De Kamer verzocht de regering dan ook zich maximaal in te zetten om hier verbetering in aan te brengen.

Het zijn de eerste zinnen van de Motie Vendrik over de niet-functionerende markt voor desktopsoftware, die al vrij snel buiten beeld zijn geraakt in alle discussies over PDF/A en welk opensource CMS nou het beste is. Maar het ging dus in eerste instantie om een verstoring van de softwaremarkt, niet de interne bedrijfsvoering van middelbare scholen, gemeentes en agentschappen. Die verstoring oplossen is een veel taaiere klus dan ‘iets met open standaarden doen’.

Hoewel steeds meer rekenwerk in mistige wolken gebeurt, verloopt de interactie met die wolken nog steeds voornamelijk via desktop/laptopsystemen. En de markt voor deze systemen is nog vrijwel net zo gemonopoliseerd als in 2002. Diegene die controle heeft over deze desktops, heeft de facto controle over de informatievoorziening van Nederland. Tot nu toe lijken vooral criminelen interesse te hebben in onze desktops. Het desktoplandschap van Nederland is een extreme software mono-cultuur. Deze mono-cultuur maakt ons kwetsbaar, en de afgelopen tien jaar heeft de overheid vrijwel niets gedaan om deze kwetsbaarheid te verlagen.

De rol van IT voor het van seconde tot seconde functioneren van onze samenleving is de afgelopen jaren echter sterk toegenomen. Ziekenhuizen, havens, vliegvelden, scholen, politiebureaus en ambulance dispatchers? Allemaal kunnen ze alleen functioneren met werkende desktop Pc’s. En die Pc’s draaien vaak Windows zonder de laatste updates. Criminelen of buitenlandse cyberlegers die deze systemen kunnen overnemen of uitschakelen hebben onze samenleving in een wurggreep.

Als cybercrime en wellicht cyberoorlog echt zo belangrijk is, zou het logisch zijn als de overheid een begin maakt met computeronderwijs dat ook echt onderwijst, het zo snel mogelijk afbouwen van onze software-mono-cultuur en het reduceren van de hoge afhankelijkheid van buitenlandse dienstverleners. Op deze gebieden echte stappen zetten heeft meer zin dan nog meer macht geven aan een overheids-apparaat dat daardoor steeds meer totalitaire trekjes krijgt, terwijl de competentie ervan terecht nog zeer ter discussie staat.

Update, terwijl ik de column aan het schrijven was maakte een vermoedelijk Russische crimineel mijn punt nog eens even door 100.000 computers te besmetten via een java kwetsbaarheid en een hack van de website nu.nl. Alle besmette system draaiden MS-Windows. Veel meer details in het post-mortum rapport van Fox-IT.