‘Andere investeringen nodig in kwetsbare ICT-infrastructuur’

Van grootschalige aanvallen die complete organisaties platleggen op internet, kijken we niet echt meer op. Tegelijk lijken we ons nauwelijks bewust van de kwetsbaarheid van de infrastructuur en van privacygevoeligheid van informatie. Overheden geven nu veel geld uit aan het vinden van veiligheidslekken, maar zouden er goed aan doen óók mee te betalen aan de ontwikkeling en het onderhoud van cruciale internetsoftware. Dit stelt prof. Aiko Pras in zijn intreerede als hoogleraar Network Operations and Management, op 13 november aan de Universiteit Twente.

Terwijl veiligheidsdiensten miljarden uitgeven  aan het opsporen van veiligheidslekken in Internetsoftware, wordt cruciale Internetsoftware voor bijvoorbeeld een protocol als ‘OpenSSL/TLS’ onderhouden door een handvol vrijwilligers die het moeten hebben van giften. Veiligheidsdiensten gebruiken bovendien hun budget ook om te infiltreren in computers van organisaties en individuen: het is echt niet alleen die hacker op zijn zolderkamer die dit doet, of de georganiseerde misdaad. Pras, verbonden aan het onderzoeksinstituut CTIT van de UT, pleit in zijn oratie voor duidelijker regelgeving op dit gebied, én voor overheidsinvesteringen in betrouwbaarder software.

Gemak

Tegelijk constateert de nieuwe hoogleraar dat er nog steeds weinig besef is van het gemak waarmee iemand een hele organisatie van Internet kan halen, via bijvoorbeeld distributed denial of service (DDoS) aanvallen. Door slim gebruik te maken van verschillende servers, kan iemand met een simpele internetverbinding toch een lawine aan DDoS-verkeer veroorzaken en kwetsbare organisaties platleggen – zelfs zonder zelf als aanvaller te worden ontmaskerd. In zijn eigen onderzoeksgroep aan de Universiteit Twente verricht Pras metingen aan dit type aanvalsverkeer, om kwetsbaarheden op te sporen en remedies te kunnen ontwikkelen.