Moet een internet-provider iedere e-mail controleren op virussen? Sjoera Nas en Christiaan Alberdingk Thijm vinden dat een slecht idee. Ze bepleiten meer aandacht voor de beveiliging van internet.
I HACKEN is een groot probleem, waar alle internetters, providers en aanbieders van informatie mee te maken hebben. Dagelijks spannen systeembeheerders zich in om de schade van hack-aanvallen te beperken en kennis over nieuw ontdekte gaten in de beveiliging door te geven. Maar het lijkt een ongelijke strijd. Met een paar muisklikken kunnen zelfs beginnende internetters virussen scheppen of programma's downloaden om een website onbereikbaar te maken of te voorzien van ongewenste informatie.
Gelukkig heeft J. van der Wel van de vakgroep informatiebeveiliging van IQUIP de ultieme oplossing aangedragen (Forum, 20 februari). De provider moet aansprakelijk worden gesteld. Einde probleem. Immers, zo meent Van der Wel, providers hebben er geen belang bij hun netwerk fatsoenlijk te beveiligen. Uit eigen ervaring weet Van der Wel dat je de directie van een provider alleen maar hoeft te bedreigen met een schadeclaim en hoppekee, de systeembeheerders doen hun werk ineens wel goed.
Het is nogal modieus, dat dreigen met rechtszaken, maar het draagt zelden of nooit bij aan een constructieve oplossing. Bovendien kunnen providers helaas weinig doen tegen georganiseerde hack-aanvallen.
De meest gebruikte aanval is sinds geruime tijd de gedistribueerde aanval (dDOS), waarbij tientallen of honderden onschuldige computers worden gehackt. Die computers lanceren vervolgens een gezamenlijke aanval op een doelwit. Sites zoals Yahoo!, Amazon en CNN werden hierdoor bijvoorbeeld platgelegd. De hacker is in dat geval niet op te sporen, hoezeer je de directie van de provider ook intimideert. Je kunt als systeembeheerder hoogstens uitvinden bij welke intemetproviders de besmette computers zijn aangesloten en je collega's daar waarschuwen, zoals gebeurt via internationale samenwerkingsverbanden als CERT. Daarmee kun je een aanval echter niet voorkomen. De hacker niest gewoon in een ander gezelschap, en maakt honderden andere mensen verkouden.
XS4ALL doet alles om zich te beschermen tegen dergelijke gedistribueerde aanvallen; er worden voortdurend nieuwe technische maatregelen genomen, er wordt geïnvesteerd in parallelle, redundante systemen en het kennisniveau wordt constant op peil gehouden. Maar actieve bescherming bieden tegen dit soort dDOS-aanvallen? Laat Van der Wel maar eens uitleggen hoe dat moet.
De indruk dat Van der Wel niet goed weet waar hij het over heeft, wordt bevestigd doordat hij virussen en hack-aanvallen op één hoop gooit. Dit zijn echter verschillende problemen, die een provider voor verschillende dilemma's plaatsen. Neem bijvoorbeeld het Anna-Koumikova-virus, de zoveelste variant op het beruchte I-love-you-virus, dat onlangs internet onveilig maakte. Het virus wordt verspreid via de email doordat het zichzelf automatisch verstuurt naar alle e-mail-adressen in het adressenbestand van een gebruiker van het programma Microsoft Outlook. Hoe kan een provider voorkomen dat dergelijke mails worden verspreid?
De oplossing van Van der Wel is eenvoudig: de provider moet iedere e-mail controleren op virussen. Dat daaraan privacyregels in de weg zouden staan, vindt hij een onzinnig argument. Blijkbaar heeft Van der Wel de recente discussie over het digitale briefgeheim niet gevolgd. Het kabinet is van plan het grondwettelijk gegarandeerde briefgeheim tevens van toepassing te laten zijn op e-mails. Gezien de kwetsbaarheid van internet beschouwt het kabinet een inbreuk op het digitale briefgeheim zelfs kwalijker dan een 'gewone' inbreuk op de privacy. Om die reden kan een e-mail in een bijzonder geval alleen geopend worden indien de rechter daar expliciet toestemming voor heeft gegeven. De provider mag e-mails dus niet zomaar openen, ook al zou hij dat willen.
Van der Wel neemt het niet zo nauw met de bescherming van het recht op privacy op internet. Het mag van hem worden opgeofferd voor het hogere doel van voorkoming van hacks en virussen. Uiteindelijk is e-business daar het meest bij gebaat.
Maar hacks en virussen zijn niet de enige factoren die een negatief effect hebben op e-business. Uit verschillende Onderzoeken blijkt dat bijna tachtig procent van de consumenten zich zorgen maakt over on-line privacy. E-commerce is dus alleen levensvatbaar indien deze angst wordt weggenomen. Uitbreiding van het briefgeheim naar e-mail is een eerste stap in de goede richting. Providers verplichten de inhoud van e-mails op virussen te controleren, heeft echter een averechts effect. Het kind zal met het badwater worden weggespoeld. Van der Wels zienswijze is een versimpeling die het probleem eerder verergert dan verhelpt.
Wat is dan wel de oplossing? De belangrijkste reden waarom hacks en virussen wereldwijd nog steeds zoveel schade aanrichten, is dat beveiliging veel te vaak het sluitstuk vormt van e-commerce. Het is wel heel kortzichtig providers aansprakelijk te stellen voor een probleem dat door een hele reeks van partijen gezamenlijk zou moeten worden aangepakt. Er dient gewerkt te worden aan een breed verantwoordelijkheidsbesef bij alle schakels in de intemetketen.
Civiel- of strafrechtelijke aansprakelijkheid is niet de juiste weg om dat te bereiken. Daarmee kweek je geen begrip bij jongeren voor wie hacken en het verspreiden van virussen net zoiets is als belletje trekken. Het gaat erom beveiliging als hoogste prioriteit aanvaard te krijgen. Niet alleen bij providers, maar ook bij degenen die handel drijven via internet, bij degenen die sites bouwen, bij investeerders en adverteerders. En ten slotte bij softwareproducenten. Een simpele aanpassing van de standaardinstellingen door Microsoft zou het verspreiden van e-mailvirussen al enorm beperken.
Sjoera Nas is woordvoerder van XS4ALL, Christiaan Alberdingk Thijm is internetjurist bij Lawformation.