Eindgebruikers zullen, alle cursussen en campagnes ten spijt, nooit iets van computerbeveiliging snappen en daarom moet de overheid internetproviders dwingen om de consument te beschermen tegen allerlei internetdreigingen, aldus beveiligingsgoeroe Bruce Schneier tegenover Security.NL. Schneier was gisteren in Amsterdam op het hoofdkantoor van BT om een presentatie te geven over toekomstige trends op het gebied van IT-beveiliging.

Volgens Schneier heeft regulering, zoals Sarbanes-Oxley, ook geholpen om bedrijven hun beveiliging te laten opvijzelen. Bedrijven beschikken echter over een automatiseringsafdeling, die voor de rest van de onderneming het beveiligingswerk uit handen neemt. De internetprovider moet daarom deze rol op zich nemen, zodat het de IT-afdeling van de thuisgebruiker wordt.

"De security van jouw computer, mijn computer, onze netwerken is afhankelijk van de beveiliging van de thuisgebruiker, zoals mijn moeder" laat Schneier, die vandaag in Amsterdam was, weten. "Als de PC van mijn moeder niet goed beveiligd is, krijgt ze een Trojaans paard en wordt ze onderdeel van een botnet, dat ons weer aanvalt. Dus onze veiligheid is afhankelijk van de veiligheid van mijn moeder, en die kan het niets schelen of er iets aan doen."

Nu zou je misschien zeggen train de eindgebruiker, maar daar ziet Schneier geen heil in. "Iedereen die denkt dat de oplossing ligt in het onderwijzen van eindgebruikers, heeft nog nooit een echte eindgebruiker ontmoet."

Niet iedereen is een expert
Het is onmogelijk om van mensen te verwachten dat ze een beveiligingsexpert worden. Dat is ook niet het geval bij autobezitters en mensen die een lampje verwisselen." Volgens Schneier is de reden dat de computers bij bedrijven beter beveiligd zijn, omdat ze daar IT-afdelingen hebben zitten. Die updaten de machines, monitoren ze en zorgen dat ze betrouwbaar blijven. Niet elke werknemer of manager weet namelijk iets van beveiliging. "Een gigantische infrastructuur die mijn moeder niet heeft."

Internetproviders bevinden zich in een positie dat ze wel als de IT-afdeling van de eindgebruiker kunnen functioneren. En om ervoor te zorgen dat dit ook gebeurt is er wetgeving nodig. "De ISPs moeten gedwongen worden om als automatiseringsafdeling te dienen." Providers die denken op deze manier extra inkomsten te genereren zijn bij Schneier aan het verkeerde adres. Als gebruikers namelijk voor een spamfilter moeten betalen zullen ze dat niet doen. "Clean pipe services, automatische updates, al die dingen die de IT-afdeling voor ons doet, moeten ISPs voor mijn moeder doen." Dit is de enige oplossing om de problematiek op te lossen, gaat de CTO van BT Counterpane verder.

Consumentenbond
Schneier zit met zijn opvatting op dezelfde lijn als de Consumentenbond, die eind vorig jaar liet weten dat de politiek veilig internet bij providers moet afdwingen. In eerste instantie zou de Onafhankelijke Post en Telecommunicatie Autoriteit (OPTA) providers regels voor een veiliger internet voorschrijven, maar daar kwam het later op terug, iets wat de Consumentenbond in het verkeerde keelgat schoot.

De bond wil dat internetproviders draadloze routers leveren met een goede beveiliging die al is aangezet, altijd al het mailverkeer controleren op virussen en ingrijpen als ze zien dat een pc van een klant wordt ingezet om spyware en spam te verspreiden.

Anti-malware niet de oplossing
Het proactief optreden is echter alleen voorbehouden aan internetproviders, en niet aan IT'ers of onderzoekers die op eigen houtje bijvoorbeeld malware willen verwijderen door zelf wormen te schrijven, zoals in het verleden weleens is voorgekomen. "Het idee van behulpzame virussen komt elke keer weer langs omdat het schrijven van virussen leuk is, en onderzoekers het ook willen doen, maar we moeten niet doen alsof behulpzame virussen andere malware kunnen opruimen, het is voor tal van redenen een verkeerd idee."