Vorige maand bestond Govcert vijf jaar. Om deze heugelijke gebeurtenis luister bij te zetten, presenteerde de organisatie een zogeheten trendrapport. 'Cybercrime in trends en cijfers', luidde de ondertitel van het 15 pagina's tellende werkstuk.

Een overheidsinstantie die de trends en cijfers over cybercrime op een rijtje zet: dat belooft wat. Maar helaas, op pagina 2 worden de gewekte verwachtingen meteen weer de grond in geboord. "Verwacht geen schatting van de omvang van cybercrime in Nederland, gewoon omdat we hiervoor onvoldoende harde gegevens hebben", schrijven de opstellers van het rapport. Om daar onderaan de pagina in kleine letters aan toe te voegen: "Gezien de technologische ontwikkelingen wordt niet gepretendeerd dat het document uitputtend is."

Wat die technologische ontwikkelingen ermee te maken hebben, blijft onduidelijk, maar dat het rapport allesbehalve volledig is, is een waarheid als een koe.

Waar het vooral aan ontbreekt, is context. Juist bij het vijfjarig bestaan van Govcert was het aardig geweest om de actuele dreigingen eens in een historisch perspectief te plaatsen. Dat hebben de makers van het rapport helaas nagelaten.

Kommer en kwel

Wie het trendrapport van Govcert leest, kan daardoor al snel tot de conclusie komen dat het allemaal kommer en kwel is met de veiligheid op internet. En dat terwijl er over de afgelopen jaren toch ook wel iets positiefs valt te melden.

Een voorbeeld. De opstellers van het rapport schrijven dat we 'steeds vaker kleinschalige, gerichte aanvallen' zien. Dat is een alarmerende ontwikkeling. Daar staat echter tegenover – en dat vermelden de schrijvers van het trendrapport dan weer niet – dat de grootschalige, op iedereen gerichte aanvallen steeds meer tot het verleden behoren.

In 2002, het jaar dat Govcert van start ging, zorgden virussen met namen als Klez.H, Yaha.E en Bugbear voor een overlast die nu nauwelijks meer voorstelbaar is. De genoemde virussen maakten alledrie misbruik van de zogeheten MIME-exploit. Door een gat in Internet Explorer konden de virussen zichzelf lanceren. Een attachment openen hoefde niet, het mailtje in Outlook bekijken was voldoende.

Al in 2001 had Microsoft een patch beschikbaar gesteld die het lek repareerde, maar security-updates ophalen was voor de doorsnee Windows-gebruiker in die dagen allesbehalve vanzelfsprekend.

Onheilstijding

Daarmee komen we automatisch terecht bij de volgende onheilstijding van Govcert. De organisatie wijst er op dat er 'meer en meer gebruik wordt gemaakt van zogenaamde zero-day exploits'. Opnieuw, op zichzelf klopt deze constatering. Maar zou deze ontwikkeling wellicht iets te maken kunnen hebben met de automatische updates van Windows en andere software, waardoor voor cybercriminelen de noodzaak toeneemt om snel misbruik te maken van een nieuw lek?

Over de zero-day exploits merkt Govcert ook nog op dat het 'opvallend' is 'dat nieuwe kwetsbaarheden in Microsoft-producten in sommige gevallen vlak na de maandelijkse patch-dag van Microsoft bekend werden'.

De suggestie is duidelijk: om zolang mogelijk misbruik te kunnen maken van een lek, slaan de cybercriminelen pas toe als Microsoft net zijn patches heeft uitgebracht. Dat is een leuke theorie, maar waarschijnlijk ook niet meer dan dat. Op basis van een analyse van tweehonderd zero-day-kwetsbaarheden, concludeerde onderzoeker Craig Schmugar van McAfee onlangs dat er in de week rond de maandelijkse patchdag helemaal geen sprake is van een buitengewoon hoge activiteit van exploit-makers.

Positieve ontwikkelingen

Er zijn de afgelopen jaren nieuwe online gevaren bijgekomen, maar ook veiligheidsproblemen verdwenen of kleiner geworden. Veel internetaanbieders filteren e-mail tegenwoordig op spam en virussen. Het gebruik van antivirussoftware en firewalls is flink toegenomen. Door optreden van de OPTA en de telecomaanbieders (en door de opmars van breedbandinternet) lijken autodialers geen problemen meer te veroorzaken in Nederland. En afpersing onder dreiging van DDoS-aanvallen komt minder vaak voor.

Allemaal positieve ontwikkelingen waaraan de opstellers van het trendrapport geen aandacht besteden. Dat is een gemiste kans. Zeker als je een feestje te vieren hebt vanwege je vijfde verjaardag.