Jaap Smit: "Tackle de hacker"
17-10-2007 | Interviewer: Marco Gianotten | Auteur: Leo Klaver | Beeld: Diederik van der Laan
In de afgelopen 10 jaar groeide het bedrijf dat is opgericht in 1994 uit van 1 medewerker naar 1200 in 27 landen. Vandaar uit bedient het naar eigen zeggen 11 duizend klanten in 130 landen. De omzet bedroeg vorig jaar 290 miljoen dollar.
ISS is het grootste bedrijf ter wereld als je alleen kijkt naar de verkopen van software die kwaadwillenden tegenhouden om ergens in een systeem in te breken. Dat heet intrusion prevention. Andere grote spelers op dit terrein zijn Cisco, Symantec, McAfee, NFr.
Hogere omzetten lijken voor de hand te liggen nu er meer en meer wordt gesuggereerd dat internetbeveiligers zelf hackers opleiden om op deze manier de industrie te laten groeien. Zo gaf Shimon Gruper, vice president bij Aladin onlangs aan dat een meerderheid van de virusschrijvers niet langer ingewikkelde virussen maakt om schade aan te richten. Zij ontwikkelen spyware die wordt ingezet bij georganiseerde misdaad om op illegale wijze geld te verdienen. Virusschrijvers organiseren zich en de beveiligingsbranche profiteert.
Stuwt u de omzet op door zelf hackers op te leiden?
"Mensen die bij ons aan het werk willen, worden eerst uitvoerig gescreend. Ook zitten ze maar een beperkte tijd op een plek om te voorkomen dat ze over een onderwerp te veel kennis vergaren. Als het al gebeurt, is dat dus niet bij ons. Ik ken die verhalen over branche, maar er is nooit bewijs geleverd."
Stel dat er leden van de raden van bestuur in deze kamer zouden zitten. Wat zou u ze dan vragen?
"Ik zou drie vragen stellen. Een: weet u wat u uitgeeft aan beveiliging? Twee: weet u of uw bedrijf gebruik maakt van beveiligingsproducten die misschien afzonderlijke beveiligingszaken aanpakken, maar niet het probleem als een geheel? Vraag drie: aan welke compliance-voorwaarden moet u als beursgenoteerd bedrijf voldoen? Als de bestuurders op deze vragen geen antwoord hebben, dan weet ik dat ze hun zaken niet goed geregeld hebben."
Volgens het onderzoekbureau IDC zullen organisaties in 2007 in West-Europa voor ongeveer 4,5 miljard euro uitgeven aan het beveiligen van hun internetomgeving.
Wereldwijd ligt dit bedrag op circa 50 miljard dollar. Veel geld. Toch gaat maar ongeveer 5 procent van het ICT-budget van ondernemingen naar beveiliging. Is
dat voldoende?
"Gezien de risico's is dit absoluut te weinig. Een kwart lijkt mij eerder wenselijk. Deze investering laat zich overigens snel terugverdienen. Volgens Gartner gaat de
helft van elk ICT-budget naar medewerkers die hoofdzakelijk bezig zijn om een netwerk en bijbehorende applicaties in de lucht te houden. Door meer geld vrij te maken voor het pro-actief aanpakken van beveiligingsonderwerpen, ontstaan er minder problemen in de netwerken en behoeft er minder geld te worden uitgegeven aan medewerkers die in wezen niet productief zijn en heel veel ICT-rommel maken.
Door meer geld uit te geven aan beveiliging, kan er uiteindelijk meer geld worden vrijgemaakt voor bijvoorbeeld ICT-nieuwbouwprojecten of een gewenste
implementatie van SAP."
Als bedrijven zo weinig uitgeven aan deze beveiliging, vinden ze het dan wel belangrijk?
"De financiële sector, banken, beurzen, zijn zich ten zeerste bewust van het risico. Overheden eveneens. Telecombedrijven ook. Onder onze klanten bevinden zich veel van deze bedrijven. In andere sectoren is het veel minder. Is het in Amerika gewoon dat een organisatie een Chief Security Officer heeft, in Nederland en in Europa is dat veel minder vaak het geval."
Er is überhaupt weinig aandacht voor de internetbeveiliging. Als de ene beveiligingsgigant een andere overneemt, trekt dat nauwelijks de aandacht. Neem de overname van Veritas door Symantec, een miljardendeal, bijna net zo groot als
de overname van Peoplesoft door Oracle. Je leest er niets over in de krant.
"Op het gebied van bewustzijn is nog een wereld te winnen. Dit is dan ook nog een zeer jong vakgebied. Bedrijven zijn nog jong, de producten nog niet volwassen. Over de branche hangt nog een stevig Willy Wortel gevoel."
Onvolwassen producten.... ? En dat zegt iemand die in de beveiligingsbranche werkzaam is.
"Ja. Bijna alle beveiligingsproducten pakken slechts een deel van het probleem aan. Firewalls, spyware, antivirus, webfiltering, email-beveiliging. Het is weggegooid
geld. Als een bedrijf een of meerdere producten heeft geïnstalleerd, doemt een nieuw probleem vrij snel daarna toch weer op. Het probleem wordt niet holistisch aangepakt.
De markt is niet pro-actief ingesteld."
Wordt het dan voor u niet eens tijd uw bedrijf volwassen te maken?
"Bijna alle producten voor het beveiligen van internet zijn reactief. Ze reageren op een probleem nadat het is ontstaan. Firewalls, antivirus, spyware. Bedrijven die voor
veel geld deze producten aanschaffen zeggen eigenlijk tegen zichzelf dat ze het goed vinden dat ze eerst ziek worden om pas daarna het medicijn te slikken. De producten
en diensten van ISS zijn pro-actief en voorkomen dat er een probleem ontstaat. We hebben een speciale afdeling van honderd man, X-force geheten die voor bedrijven voortdurend op internet op zoek is naar verdachte zaken. Vinden we een lek in een softwareproduct dan geven we dat door aan de producent van de software.
Daarnaast evalueren we bedrijfskritische applicaties op hun veiligheid. We proberen in opdracht ook een beveiligde omgeving binnen te komen. Komen we binnen, dan is er iets niet goed. Een goede beveiliging voorspelt waar bedreigingen kunnen optreden."
Nu is niet elke bedreiging voor een bedrijf ook direct een groot risico. Hoe kunnen bedrijven dat inschatten?
"Als onze website een dag down gaat dan is dat vervelend, maar niet rampzalig. Als E-bay een dag niet over zijn website kan beschikken dan is dat rampzalig.
Beveiligingsoplossingen moeten dan ook in relatie staan tot het risico. De vraag die bedrijven zichzelf moeten stellen is of ze het zich kunnen veroorloven om niets te
doen. Bij beveiliging praatje niet over return on investment maar over cost of no-action."
Er zijn veel manieren om bedrijven via internet informatie te ontfutselen. Met de verhalen van hoe cybercriminelen internet misbruiken zijn boeken te vullen. De grootste hit is momenteel waarschijnlijk het verkrijgen van persoonlijke gegevens via internet. Zo hebben criminelen recent studenten hun sofi-nummer weten te ontfutselen met de belofte dat ze voor hen T-biljetten zo zou zouden invullen
dat ze het maximum aan teveel betaalde belastinggelden terug zouden krijgen. Dat is inderdaad gebeurd, alleen is het geld niet op de rekeningen van de studenten terecht
gekomen, maar op die van de boosdoeners. Totale schade voor de studenten: 24 miljoen euro.
Studenten staan zomaar hun identiteitsgegevens af. Hoe groot is het risico dat je informatie aan een vreemde geeft, in vaktermen aangeduid als Identiy-theft?
"Dat risico wordt steeds groter. Zo waarschuwde de Universiteit van Califomia, Berkley, onlangs dat er een laptop was gestolen met daarop de namen, adressen, social security nummers, geboortedata van 98.369 afgestudeerden van de universiteit. Het zijn gegevens die door kwaadwillenden kunnen worden gebruikt, bijvoorbeeld
voor het aanvragen van leningen. Het risico van diefstal van identiteitsgegevens via internet zelf wordt ook groter naarmate men meer gaat bankieren op internet. Steeds
meer bancaire gegevens worden tussen ICT-systemen uitgewisseld. De recente problemen bij Visa geven aan dat dat niet altijd goed gaat. Maar het is niet het enige
risico."
Bij Visacard is een probleem geconstateerd dat er gegevens van creditcardhouders bij onbevoegden zijn terechtgekomen. Visa heeft daarop de kaarten van enkele tienduizend cardhouders geblokkeerd om te voorkomen dat er nog meer misbruik van deze kaarten zou komen. Ik neem aan dat het andere risico virus heet?
"Of worm. Ze leggen in ieder geval een organisatie plat. Men schat dat er per dag zo'n 25 nieuwe virussen bijkomen. En elk nieuw virus verspreidt zich sneller dan zijn
voorganger. Spamtechnieken zijn hier de grote boosdoeners. Na besmetting van een systeem verzendt de geïnfecteerde pc of host automatisch een bericht naar een hacker om te laten weten dat het systeem open staat. En passant worden volledig automatisch alle emailadressen en creditcard gegevens op het systeem gevonden. Het virus
verspreidt zich automatisch naar de gevonden emailadressen en de credit card-nummers worden keurig in een tekstbestand naar de hacker gemaild. Het 'I Love
You' virus had in 2003 12 uur nodig om de wereld rond te gaan, het virus SQL Slammer had in 2004 30 minuten al 75 duizend hosts geïnfecteerd. Dat is ongelooflijk snel. Het Amerikaanse leger bijvoorbeeld doet er 30 dagen over om op alle 110 plekken in de wereld waar het een basis leeft, softwarematige fouten online in ICT-systemen te repareren of nieuwe versies van softwarepakketten te installeren."
En het andere risico...
".... dat heet Corporate Espionage. Bedrijven vinden het in toenemende mate lastig om bedrijfsgeheimen, bedrijfsexpertise binnenboord te houden. Neem de
autobedrijven die veel designwerk op diverse plekken in de wereld en door toeleveranciers laten uitvoeren. Hoe betrouwbaar is zo'n netwerk. Hoe gemakkelijk is
het voor onbevoegden om interessante informatie uit het netwerk te halen? De risico's nemen toe naarmate er meer systemen, intern en extern, met elkaar geïntegreerd
werken."
Worden de risico's in de toekomst groter?
"Het accent verschuift. De ene keer heet het risico spyware, een andere keer heet het phishing. Dat is het fenomeen dat op het eerste gezicht volledig legitieme bedrijven
internetgebruikers vragen om persoonlijke gegevens door te geven ofte verifiëren. De werkelijkheid is dat het cybercriminelen zijn die kopieën van websites van bedrijven
maken om in het bezit te komen van bijvoorbeeld creditcard gegevens. Ze vissen vaak met succes naar deze gegevens. Voice over IP zal een ander beveiligingsaccent
leggen. Bellen over internet is nu nog door iedereen af te luisteren en is absoluut niet veilig. Hetzelfde geldt voor het mobiel gebruik van internet. Ook nog uiterst onveilig.
Een beveiligingsprobleem waar we in de toekomst in toenemende mate mee te maken krijgen wordt veroorzaakt doordat vele apparaten een IP-adres krijgen waardoor ze
met elkaar kunnen communiceren. Het aftappen van deze communicatie kan voor cybercriminelen zeer creatief zijn."
Dit klinkt als... het is een ongelijke strijd. Niet te winnen.
"Je hoeft ook niet te winnen. Er zal altijd worden gestolen, ingebroken. In huizen, op internet. Je kunt als je je huis wilt beveiligen, een lieve hond in de tuin zitten, maar het wordt voor inbrekers al een ander verhaal als er een Dobberman waakhond rondloopt. Ik vind het zelf altijd onbegrijpelijk als directeuren wel thuis hun huis, hun familie beveiligen, maar nauwelijks hun bedrijf."
Aan de andere kant brengt de ICT-industrie hackers ook zelf op het spoor. Als een bedrijf als Microsoft bijvoorbeeld laat weten dat het een patch beschikbaar heeft voor het oplossen van een bepaald beveiligingsprobleem dan weten hackers direct dat daar kennelijk een probleem zit en schrijven daar onmiddellijk een virus of een worm voor.
"Het gevaarlijkste moment is inderdaad de periode tussen de bekendmaking dat er reparatiesoftware beschikbaar is en het moment dat bedrijven deze patch hebben
geïnstalleerd. Zo wisten we bijvoorbeeld al een jaar voordat het Slammervirus zijn werk kon doen, welke beveiligingsgaten er in de software van Microsoft zaten. We
hebben dat vervolgens ook het bedrijf medegedeeld. Hackers wisten pas van het lek toen Microsoft zijn patch bekendmaakte. Of het anders kan? Het is voor een bedrijf
als Microsoft zo goed als onmogelijk alle bedrijven die gebruik maken van zijn software in het geheim te informeren en in stilte reparatiesoftware beschikbaar te
stellen."
Het probleem gaat dus niet weg.
"Nee, het zal er altijd zijn. En dus zullen bedrijven permanent op hun hoede moeten blijven. Totdat er een nieuw type internet komt dat meer is afgestemd op het doen van transacties."
Jaap Smit (43)
Opleiding: propadeuse business, Erasmus Universiteit Rotterdam; master in
Business&IT heao BE-I Rotterdam
Functie: senior vice president EMEA ISS
Loopbaan: 15 jaar ervaring in de ICT-branche. Laatste vijfjaar werkzaam als vice president bij Progress Software en Matrix One.
Nevenfuncties: secretaris van de stichting Het Poolse Weeskind
Hobby's: voetballen, stoeien met zijn kinderen
Smit is getrouwd heeft drie kinderen