De vermoorde onschuld

"Als ik een e-mail ontvang van een onbekende, dan open ik dat niet!" De angst zit er aardig in bij bedrijven die eens een mass-mailer op bezoek hebben gehad. De IT-afdeling neemt, al dan niet in opdracht van het management, stringente maatregelen. Ze blokkeren bijvoorbeeld standaard alle bestanden met .vbs, .bat, .exe en .pif extensies en maken de desktopgebruikers verantwoordelijk inzake security. Bedrijven worden steeds slagvaardiger in het gebruik van een Disaster Recovery Group en het aanpakken van agressieve viruscalamiteiten. Binnen een paar uur hebben zij het virus onder controle, wat vaak op direktieniveau als acceptabel wordt ervaren.

We hebben natuurlijk te maken gehad met een aantal zeer interessante virussen; het Nimda- en het SirCam-virus vielen speciaal op. Het SirCam-virus als een polymorphism, wijzigt continue en is visueel niet makkelijk te herkennen (zoals Lovebug en veel andere virussen dat wel zijn). SirCam veroorzaakt niet alleen flooded servers, maar pakt willekeurig documenten van de harddisk en mailt ze als attachment rond naar het adressenbestand uit het mailprogramma.

Vertrouwelijke documenten nemen een vlucht naar bekende relaties en klanten. Daar zijn inmiddels zorgwekkende voorbeelden van, zoals patiëntinformatie en operatiekamerschema's uit een academisch ziekenhuis, 'Official Use Only'-documenten van de FBI en kwartaalcijfers van een beursgenoteerd bedrijf die voortijdig op straat kwamen te liggen.

Maar ben je als virusslachtoffer wel zo onschuldig als je niet de juiste maatregelen neemt? Interessant is de vraag in hoeverre je er als bedrijf of instelling alles aan hebt gedaan om schade te voorkomen en, als het kwaad geschied is, de schade te beperken. Ook daar zal in een juridische procedure naar worden gekeken, zeker ook als anderen weer schade ondervinden van het feit dat jouw bedrijf of instelling onzorgvuldig met privacygevoelige en andere vertrouwelijke gegevens is omgesprongen. Data Protection Act principle 7 kan een mogelijkheid bieden: "appropriate security measures are in place to safeguard against unauthorized or unlawful access/processing of personal data".

Welke maatregelen kun je nemen om je beter tegen virussen te beschermen? Dan moeten we eerst kijken waar de informatie ligt die bescherming behoeft. Dat is niet op een solide plek in een kluis, maar op een snel toegankelijke plek: meer dan 45 procent van alle business information is opgeslagen in e-mail (bron: SCMagazine.com, augustus 2001). Diverse directories in zakelijke e-mail accounts zijn ontwikkeld om (vertrouwelijke) klantinformatie, personeelsgegevens, juridische issues, marge-, winst- en omzetcijfers, e.d. op te slaan en te structureren. De eerste stap is dus: vertrouwelijke bedrijfsinformatie niet opslaan in een e-mail applicatie. Dergelijke e-mail wordt immers alleen beveiligd door een (open) deur; de antivirus-scanner.

De antivirus-scanner is in de meeste organisatie niet meer dan een standaardpakket. De gebruiker kan zelf geen aanpassingen doen, nieuwe patches draaien of de configuratie-instellingen wijzigen. De klant als gebruiker is afhankelijk van de updates die beschikbaar worden gesteld en hoopt dat het aantal gemiste virussen zo laag mogelijk blijft. De klant managed de RJ45 connectie die er zo nu en dan uitgaat, als het te onzeker wordt.

Volgens de National Academy of Sciences (NAS) dient de verantwoordelijkheid veel verder te gaan. De maker van het Kournikova-virus is de enige geweest die is aangeklaagd – de softwarefabrikant staat alleen even negatief in het nieuws. "Software makers should be legally liable for security holes in their products, according to NAS."

Ook na de Tielse rechtzaak omtrent "e-mail bewijskracht" (vonnis 28 juni 2000, Kantonrechter Tiel) kunnen we wachten op juridische gevolgen op basis van "het versturen van vertrouwelijke informatie of de overbelasting van een netwerk vanwege een virus mass-mailer uit bedrijf X". Bedrijven en instellingen die inmiddels werkelijk virusschade hebben ondervonden weten dat adequate virusbescherming een kritische succesfactor is. Honderd procent garanties zijn nooit te geven, maar zoals bij elke crisis zullen de bedrijven en instellingen het knap moeilijk krijgen als ze bij een viruscrisis niet kunnen uitleggen wat ze serieus hebben gedaan om het te voorkomen. Melden dat je met een standaard virusscanner de vertrouwelijke informatie van jezelf en anderen beschermt, zal niet langer worden geaccepteerd. Niet door de rechter, niet door je klanten, je patiënten, je leden of andere relaties. Onschuldig virusslachtoffers bestaan niet meer.