‘Nato voor internetverdediging nodig’

Bescherming van e-commerce en andere vrije communicatie over internet vereist volgens een rapport van de EU-organisatie Enisa een ‘Nato voor cyberspace’ en onmiddellijke afsluiting van besmette pc’s door providers. Het web is te kwetsbaar.

Dat staat in een rapport vervaardigd in opdracht van Enisa, European Network and Information Security Agency.

Het uitgangspunt voor de vergaande aanbevelingen vormen de miljarden aan schade die ontstaan door elektronische communicatie met gebrekkige beveiliging, plus de miljarden aan verlies van consumenten die e-commerce, zeker grensoverschrijdend, niet meer aandurven vanwege de veiligheidsrisico’s. Bijvoorbeeld onderzoek in Duitsland en Finland toonde aan dat een meerderheid e-commerce onveilig vindt. Om nog maar te zwijgen over immateriële schade aan de privacy door dataverlies.

Maar hierover blijkt een totaal gebrek aan informatie te bestaan. De eerste aanbeveling is dus dat er een richtlijn komt die EU-lidstaten verplicht om alle veiligheidslekken te registreren, zowel crimineel als ‘per ongeluk’ ontstane schade. Vooral van de kant van banken ontbreken betrouwbare cijfers (ook in Nederland). Consumenten moeten ook meer rechten krijgen in disputen met banken over elektronische betalingen waarmee iets fout gegaan is. Nederland wordt als goed voorbeeld genoemd waar consumenten die het slechtoffer zijn van (pinpas)fraude hun geld terugkrijgen.

Behalve banken zouden ook isp’s verplicht moeten worden om al hun lekken, aanvallen en spam te melden. Ook moeten ze verplicht worden om de verbinding van pc’s waarmee spam en virussen worden verspreid, dus met name besmette zombie pc’s af te sluiten. Met een eenvoudige procedure moeten abonnees snel weer kunnen aansluiten bij gebleken veiligheid.

Er moet ook onderzoek komen naar uitval en risico’s van internetknooppunten en de mogelijkheden om bij uitval de schade te beperken door back-up verbindingen.

Aansprakelijkheid software

Maar die lekken ontstaan vaak door gatenkaassoftware. De onderzoekers vinden dat de EU een begin moet maken met aansprakelijkheid van softwareleveranciers. "De software-industrie heeft aansprakelijkheid altijd afgewezen zoals de auto-industrie in de eerste zestig jaar van haar bestaan." Maar het moet nu opgepakt worden, te beginnen met een verklaring bij software te eisen dat deze ‘veilig’ is. De rest volgt dan, bijvoorbeeld met internetproviders die makers van terminals (pc’s, tv’s) kunnen aanklagen.

Aansprakelijkheid bevordert ook de snelheid van het dichten van lekken in software en de openbaarmaking van die lekken. ‘Plakkers’ moeten voor iedereen gratis beschikbaar zijn, of men nu een licentie heeft of niet. Installatie moet verplicht worden en degenen die dat niet doen strafbaar. "Net als de autofabrikant gordels moet inbouwen en inzittenden verplicht zijn om die te dragen."

Nato-model

De grensoverschrijdende bestrijding van cybercrime is nog beroerd en moet aanzienlijk verbeteren. Er moet een EU-brede organisatie komen om het internetverkeer te beschermen, met de werking van de Nato als voorbeeld: een centraal commando en bijdragen en geld en soms in mankracht waar nodig van de lidstaten.

"De politie van Londen heeft geen zin om een Russische phishingbende aan te pakken als maar 1 procent van de slachtoffers uit Londen komt maar een Europese organisatie heeft dat wel als 40 procent van de slachtoffers Europeaan is."

Ook moet er Europees beleid komen tegen marketeers die de grenzen overtreden van wat redelijk is. Zo is in een aantal landen in de zakelijke markt spam niet verboden, in andere landen wel, en verschilt de bestrijding van verspreiders van spyware van land tot land. Ook hebben 15 landen het Verdrag tegen Cybercrime nog niet ondertekend, een kwalijke zaak.

Immers, de onderzoekers constateren een ‘revolutionaire’ opkomst van internetcriminaliteit en met name van een markt waarin criminele methoden en middelen zoals botnets en gevoelige data tussen criminelen van hand tot hand gaan om er misdaad mee te kunnen plegen via internet. Er is een functie ontstaan van ‘botnet herder’ die zijn kudde van besmette pc’s verhuurt aan criminelen tegen marktprijzen, vooral om te kunnen spammen. Want hacking was vroeger een sport, maar is nu een ‘big business’ geworden.