In onze moderne informatiemaatschappij worden enorme hoeveelheden gegevens opgeslagen en gecommuniceerd via het internet. Vaak gaat het daarbij om gegevens die we niet zomaar met derden willen delen, zoals persoonlijke of financiële gegevens. Iedereen vraagt zich bijvoorbeeld wel eens af of internetbankieren veilig is, of e-mail afgetapt kan worden en of onze persoonlijke gegevens in het elektronisch patiëntendossier wel goed beschermd zijn. Informatiebeveiliging is noodzakelijk. In de praktijk is informatiebeveiliging door allerlei tegenstrijdige eisen een compromis, waardoor de deur tot misbruik op een kier gezet wordt.

Neem als voorbeeld de vraag of internetbankieren veilig is. Een eenduidig antwoord op deze vraag is niet te geven. We maken met zijn allen massaal gebruik van internetbankieren. Kent u iemand in uw familie of kennissenkring die onlangs het slachtoffer is geworden van misbruik bij internetbankieren? Waarschijnlijk niet. Ook de media berichten er nauwelijks over, terwijl die toch op dit soort zaken verzot zijn. In de dagelijkse praktijk lijkt er dus slechts een klein risico. Echter, absolute veiligheid bestaat niet en er is een zeker risico. Hoe groot dat risico in werkelijkheid is, valt moeilijk te zeggen. Banken lopen niet te koop met dit soort informatie.

Tipje van de sluier

We kunnen een tipje van de sluier oplichten door te analyseren hoe we internetbankieren. Applicaties voor internetbankieren maken dankbaar gebruik van cryptografie. Gegevens worden eerst in een geheimschrift omgezet, voordat ze over het internet worden verstuurd. De moderne cryptografische algoritmen zijn zo goed, dat ze in de praktijk niet te kraken zijn.

Cryptografie zorgt ook voor authenticatie, waarmee we de identiteit van de partij aan de andere kant van de internetverbinding onomstotelijk kunnen vaststellen. Deze toepassingen van cryptografie zorgen voor een goede beveiliging. Daarnaast wordt er gebruik gemaakt van allerlei aanvullende maatregelen, zoals inlogcodes en wachtwoorden, of een toegangstoken (bijvoorbeeld de random reader van de Rabobank) met bankpas en pincode, of TAN-codes via de mobiele telefoon. Banken hebben wat dat betreft hun zaakjes aardig op orde en veiligheid staat hoog in het vaandel.

Oog van de naald

Maar daarmee is de zaak bij lange na niet af. De architectuur van het internet en de internetprotocollen is complex en dateert uit de tijd dat beveiliging nog nauwelijks om aandacht vroeg. Hackers en onderzoekers slagen er dan ook met regelmaat in om nieuwe lekken te vinden. Soms kruipt de wereld door het oog van de naald, zoals het lek in het DNS dat door Dan Kaminsky in 2008 werd gevonden. Beveiligde varianten van internetprotocollen zijn er wel al, maar grootschalige invoering laat op zich wachten.

Techniek biedt oplossingen, maar er is meer nodig dan alleen techniek. De achilleshiel is en blijft de mens, en dat geldt zeker voor leken op gebied van informatie- en communicatietechniek. Het is wel veel gevraagd om van een leek te verwachten om bij elke transactie via internetbanieren de URL te controleren (of liever nog het IP-adres, immers ook DNS is niet waterdicht) en het certificaat te controleren.

Argeloze gebruiker

Het gevaar zit verder niet zozeer in de communicatie via het netwerk, maar in de computer van de argeloze gebruiker. Er is tegenwoordig een enorme hoeveelheid kwaadaardige software in omloop. Een up-to-date virusscanner en firewall zijn minimale eisen om deze kwaadaardige software buiten de deur te houden. Wat denkt u bijvoorbeeld van een kwaadaardig stukje programma dat alles wat u intikt en schermafdrukken doorstuurt naar een computercrimineel in een ver land? En dan zijn er nog social engineering methoden zoals phishing, waarmee criminelen op slinkse wijze inspelen op het vertrouwen van mensen en allerlei informatie proberen te ontfutselen.

Er is dus nog voldoende werk om de veiligheid van internetbankieren te verbeteren, maar vooralsnog lijken we er zonder al te grote ongelukken mee weg te komen. Het advies: internetbankier gerust, maar wees bedacht op misbruik en controleer regelmatig uw rekeningoverzicht!

Op dinsdag 19 mei houdt dr. ir. Harald Vranken een lezing over informatiebeveiliging in het kader van het Wetenschapscafé van de Open Universiteit Nederland.