Daniel Castro van denktank ITIF sprak tijdens de NCSC One-conferentie over de problemen rond internetbeveiliging en stelde dat deze op te lossen zijn, maar dat het huidige beleid faalt. Hoogleraar Michel van Eeten presenteerde zijn eigen incentives om beveiligingsproblemen aan te pakken.

Castro trok in zijn presentatie op de conferentie in Den Haag de vergelijking met de aanpak van de ziekte pokken in de twintigste eeuw. Hij stelde dat als landen zich eenmaal als doel stellen om een probleem uit te bannen in plaats van alleen maar de symptomen te bestrijden, er een geheel andere strategie ontstaat. Daarom is het belangrijk dat de vraag wordt gesteld wat er bijvoorbeeld gedaan kan worden om de oorzaak van beveiligingsproblemen aan te pakken in plaats van alleen botnets te bestrijden.

Hij beargumenteerde dat het huidige overheidsbeleid op het gebied van internetbeveiliging heeft gefaald. Hij uitte kritiek op het feit dat overheden niet aansprakelijk zijn voor hun eigen tekortschieten op beveiligingsgebied: "Na een incident worden er misschien hier en daar enkele wijzigingen aangebracht en wordt er iemand ontslagen, maar na een paar weken is het weer business as usual."

Daarnaast bekritiseerde hij het streven naar 'cyber superiority', waardoor overheden bijvoorbeeld kwetsbaarheden in software gaan verzamelen. Hij zei dat het argument dat dit noodzakelijk is voor de bescherming van de nationale veiligheid geen hout snijdt: "Dat zou betekenen dat de nationale veiligheid afhankelijk is van programmeerfouten van Microsoft. Dan kan geen steekhoudend argument zijn.” Bovendien zouden door kwetsbaarheden alle systemen gevaar lopen, waardoor er geen ‘wij tegen hen’ bestaat.

Een oplossing is volgens Castro bijvoorbeeld het informeren van consumenten, zodat zij weten hoe het met de beveiliging van een product gesteld staat. Daarnaast moet de overheid nieuwe technieken snel in gebruik nemen en op die manier degelijke beveiliging afdwingen, waarvan consumenten vervolgens weer kunnen profiteren. Ten slotte moet de overheid het bedrijfsleven intensiever ondersteunen, bijvoorbeeld door bug bounties te financieren en responsible disclosure te stimuleren.

In een aparte presentatie sprak TU Delft-wetenschapper Michel van Eeten over manieren om organisaties zover te krijgen om iets te ondernemen tegen gebrekkige beveiliging. Zijn onderzoek richt zich op het verzamelen van gegevens, waardoor zogenaamde performance metrics opgesteld kunnen worden. “Daaraan is bijvoorbeeld te zien wie het goed doet en wie het slecht doet op beveiligingsgebied”, legde hij uit.

Vervolgens kan die data gebruikt worden om organisaties zover te krijgen om actie te ondernemen. Een manier om dat te bereiken is peer pressure en inspelen op de reputatie van organisaties. Dat werkte bijvoorbeeld door isp’s in een gesloten bijeenkomst te confronteren met het aantal botnetinfecties per isp. Daardoor kwam er eentje als slechtste uit de bus, waardoor deze partij zich in gaat zetten om zijn positie te verbeteren. Dat deze aanpak werkt, blijkt uit cijfers die een daling laten zien in het aantal botnetinfecties. Een samenwerking met de politie om bad hosters aan te pakken had daarentegen gemengde resultaten.

Een andere manier is juridische aansprakelijkheid. Daarbij haalde Van Eeten het voorbeeld van de zaak tussen de Consumentenbond en Samsung aan: “Als Samsung beveiligingspatches moet uitbrengen die nota bene al door Google zijn ontwikkeld, dan gaat dat blijkbaar te ver. Maar als een telefoon in de fik vliegt dan is Samsung snel met het uitbrengen van een patch, omdat het duidelijk is dat er aansprakelijkheid is voor schade die daardoor ontstaat."

Daarom zou het op beveiligingsgebied meer de kant van productaansprakelijkheid op moeten gaan. Hetzelfde geldt voor tussenpersonen, bijvoorbeeld voor isp’s die botnets tegengaan. Zij hebben het probleem niet gecreëerd, maar inmiddels accepteert iedereen dat zij in een positie zijn om er iets aan te doen en daarom ook een zorgplicht hebben, aldus de onderzoeker. Dit is bijvoorbeeld ook van toepassing op de beveiliging van internet-of-things-apparaten. Andere oplossingen zijn sociale normen en aanpak via certificaten.

In de presentatie kwam het WannaCry-incident eveneens aan bod. Daarover zei Van Eeten: “WannaCry was niet geavanceerd, het is duidelijk dat het hierbij ging om amateur hour. De kwetsbaarheid in kwestie was al maanden oud en er was al een patch, de vraag is waarom er dan zoveel schade aangericht kan worden. Het komt erop neer dat dit een probleem rond het uitvoeren van patches is. Patches maken dingen stuk en zijn soms de hoofdoorzaak van de uitval van diensten. Daarom is het een economische afweging. Bovendien is het vaak onduidelijk wat er dan gepatcht moet worden. In 2016 waren er 15.000 kwetsbaarheden en om onderscheid te maken is de cvss-score niet behulpzaam, omdat die te veel als ‘kritisch’ wordt bestempeld.”