Er was deze week een ICT beveiligingsnieuwtje dat het nieuws niet gehaald heeft, wat erg jammer is. De feiten: de NAVO heeft in de opbouw van het vermogen tot cyberwarfare de volgende concrete stap gezet met het instellen van de Cyber Defence Management Authority (CDMA). Dit internationale centrum wordt in Brussel neergezet en moet eind 2008 operationeel zijn, zo is besloten tijdens de NAVO-top in Boekarest. Dit CDMA krijgt een coördinerende taak, zodra een nationale overheid daarom vraagt. Tot een dergelijk fenomeen zich voordoet, zal het CDMA standaarden en procedures ontwikkelen om aanvallen te voorkomen en af te schrikken. Het CDMA heeft haar kenniscentrum al geopend in Tallinn (Estland) en IJsland heeft haar concrete steun hiervoor al toegezegd. Tja, een nieuwe papierfabriek in Oost-Europa klinkt inderdaad niet zo nieuwswaardig. Maar toch is het bericht interessant genoeg om eens nader te bekijken.

De Amerikaanse pendant van het CDMA (het US Air Force cyber-operations command) heeft recent bij monde van Lt. Gen. Robert J. Elder Jr. verklaard dat de VS in de toekomst mogelijk tot de inzet van network warfare overgaat om de communicatie van tegenstanders te ontregelen, een taak die op dit moment nog met conventionele middelen als kruisraketten en ander slim bommentuig gerealiseerd wordt. Lager in het geweldsspectrum zullen de Amerikanen bloggers inhuren om bepaalde denkbeelden over de bühne te krijgen, en om eventueel het bepaalde personen moeilijk te maken.

Zo zie je dat het denken evolueert en de linies op het digitale slagveld opgebouwd worden. Hoe ver is de NAVO intussen? Het CDMA heeft een beduidend minder ambitieuze opzet. Het wordt opgezet als defensieve instelling om 'internationale systemen' te waarborgen. "The keynote is defence, whether an attack comes from state, criminal or other sources," aldus de NAVO-woordvoerder. Heeft de NAVO een nieuwe taak in criminaliteitsbestrijding?

De verschillende nationale entiteiten die door het CDMA gecoördineerd moeten worden, verkeren in verschillende fasen van opbouw. Volgens Gartner zijn wereldwijd 120 landen bezig om een offensieve capaciteit voor digitale oorlogsvoering op te bouwen, waarvan 30 al een daadwerkelijke capaciteit bereikt hebben. Deze instanties vallen binnen de NAVO niet onder de gezamenlijke paraplu, die zich immers a priori beperkt tot defensieve capaciteiten. De kans dat de CDMA iets zinnigs te coördineren zal hebben tussen nationale instanties in Europa lijkt dan ook al niet groot, een defensie zonder vermogen tot een tactisch tegenoffensief is weinig meer dan een papieren Maginotlinie. Bovendien zijn veel van de genoemde 30 landen geen NAVO-lid. Gelukkig is het aantal standaarden, normen en procedures dat je kunt opstellen voor theoretische eventualiteiten onbeperkt, anders zouden ze zich eens gaan vervelen. Maar het wordt vast geen club waar de echte security-talenten bij zouden willen werken.

De NAVO is voorlopig gepreoccupeerd met het beschermen van de eigen infrastructuur. Dat hangt wellicht samen met de recente resultaten van de inzet van Telindus om de eigen systemen te beveiligen; men is geschrokken van het aantal aanvallen dat de Cisco spullen signaleren. Dat gaat wel over, na enige tijd krijg je wel een beeld van wat ruis is en wat niet.

Als de CDMA iets moet betekenen in een echte oorlog (met bijvoorbeeld de Russen) is een plek vlak bij de grens van het NAVO-territorium niet echt handig - de kans dat het kenniscentrum lang operationeel zal zijn, lijkt dan ook minimaal. Dat het bureaucratische hoofd in het verre Brussel zit, maakt daarbij ook niet veel uit. Het lijkt er op dat de NAVO met deze actie een signaal heeft willen afgeven richting Poetin dat ie met z'n tengels van onze kritieke digitale infrastructuur moet afblijven. Of is het meer iets van een triviaal bureautje neerzetten om onze jongste bondgenoten ook iets te geven?

Het echte nieuws is dus blijkbaar dat we met onze bondgenoten niet zullen samenwerken als het op digitale oorlogsvoering aankomt, en dat we daarvoor een bureautje openen in de periferie van ons grondgebied. Een duidelijker signaal dat de er in beleving van de NAVO weinig aan de hand is, lijkt mij moeilijk denkbaar.

Volgens gerenommeerde ICT security specialisten is er juist heel veel aan de hand en is het de hoogste tijd voor een stevige digitale defensie. Een aanval op de internationale digitale infrastructuur klinkt wellicht wat vergezocht, maar - zo meldt John Walker, vice-president van de Information Security Systems Association (ISSA) – ook 9/11 klonk vergezocht en is toch gebeurd. "It is therefore feasible that something could happen on that scale in the cyber world, via the Internet". Zo is er vlak voor kerst 2006 een internationaal alarm uitgegaan omdat er een digitale aanval op de financiële sector ophanden was. Nu ja, zou zijn geweest, want het werd een stille en vredige kerst. Volgens Walker is een frontale digitale aanval op onze kritieke infrastructuur binnen twee jaar zeer waarschijnlijk. Nu deed hij deze uitspraak in april 2007 - dan hebben nog maar héél weinig tijd.

Een prachtige logica gebruikt Walker hier: als één onwaarschijnlijk verhaal gebeurt, moeten we rekening gaan houden met andere onwaarschijnlijke verhalen; de natte droom van alle FUD artiesten. Ik houd persoonlijk dan ook serieus rekening met de dreiging dat de hemel op ons hoofd zal vallen, waar Asterix ons immers al jaren voor waarschuwt. Overigens was 9/11 niet onwaarschijnlijk, zoals de onderzoekscommissie van het Amerikaanse congres vaststelde, maar werden de signalen niet opgepakt. Het gebruik van passagiersvliegtuigen als bommen was al in 1993 als scenario onderzocht, na de eerste aanslagen op het WTC. Bovendien zijn er in 1994 drie van dergelijke pogingen mislukt en heeft de dader van de eerste WTC aanslag in 1995 gemeld dat een dergelijke aanval overwogen was. Wat er dan nog overblijft van de redenering van de gerenommeerde specialist dat we onwaarschijnlijk klinkende verhalen serieus moeten nemen? Ik denk dat de ISSA een betere vice-president verdient, en die in ieder geval dringend nodig heeft om nog enige geloofwaardigheid te houden.

2007 was in ieder geval het jaar van de waarheid voor de Idolen van de Internetbeveiliging: ook Instant Messaging en VoIP schijnen het afgelopen jaar door gerichte aanvallen onbruikbaar te zijn gemaakt. Daniel Ingevaldson, directeur technologie strategie van de X-Force (IBM, vroeger ISS) achtte dat eind 2006 onvermijdelijk omdat VoIP volgens hem op dezelfde onveilige protocollen draait als e-mail. Hij denkt toch niet dat VoIP op SMTP draait? Of bedoelt hij IP? Ik heb een nieuwtje voor onze IBM-er: het hele Internet draait op IP. Er bestaan geen 'veilige' protocollen.

Phyllis Schneck, directeur van het FBI programma Infragard noemt het gegeven dat 9% van alle spam in Azië van computers in China afkomt als bewijs van de betrokkenheid van de Chinese regering. Ik ben toch benieuwd hoeveel procent van alle pc's in Azië in China staat, hoe ervaren de gebruikers zijn en of die 9% dan nog zo statistisch significant is. De opmerking van Kaspersky hierover is opvallend afwijkend van het koor van gerenommeerde specialisten, en beduidend geloofwaardiger: de Chinese politie is zo beroerd en corrupt dat iedere hobbyist alles kan doen wat digitaal verboden is zonder enig risico te lopen. Duidelijk toch, zolang het maar niet openlijk bloggen over Tibet is. Daarbij leidt de Internet censuur tot een boel creativiteit onder de dikke 200 miljoen internetgebruikers in China. Deze activiteiten zijn primair tegen de Chinese regering gericht, niet tegen het Westen. Met censuur leer je ze hacken, wat niet de bedoeling zal zijn van de Chinese overheid. Maar een genuanceerde visie op deze materie hoor je vrijwel nergens, we vinden het juist het heel fijn om bedreigd te worden. Goed voor de omzet of de status. Deze georkestreerde paniek doet denken aan het werk van spindokters, en lijkt verdacht veel op de bomber-gap en missile-gap hysterie uit de Koude Oorlog. Het heeft al met al een hoog Fitnagehalte, dit opkloppen van de angst uit de behoefte om een bekwaam bestuurder te lijken.

Het is blijkbaar een groot wonder dat je anno 2008 deze column nog kunt lezen over een extreem vijandig, door Chinese en Russische spionnen en terroristen gemanipuleerd Internet. Want als de leidende specialisten aan onze kant zulke koeien van vergissingen maken, is het niet meer dan terecht dat we het gevecht verliezen zodra we echt aangevallen worden. Gegeven dat de boel nog werkt is dat niet zo. Gelukkig is de NAVO slim genoeg en gebruikt het de FUD alleen om de Estse regering te paaien en de lokale economie te stimuleren. Het zal namelijk nog wel even duren voor het Internet een serieus digitaal slagveld is voor nationale legers en internationale terroristen.

Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Vorige columns van Peter

• Koud onderzoek
  
• Wie Zwijgt Stemt Toe
  
• Een Lesje in Beveiliging
  
• Voortschrijdend Inzicht Mag Niet
  
• De Chinezen Komen Niet - Ze Zijn Er Al!
  
• Het anti-terrorismehoesje
  
• Niemand is de Baas
  
• Zin en Onzin
  
• This is Me
  
• Wat niet meet, wat niet deert
  
• De Chinezen komen, of niet natuurlijk (deel 2)
  
• Afscheid van het netwerk
  
• De Chinezen komen! Of niet, natuurlijk.
  
• Een kwakkelend dossier
  
• "Nederland is goed voorbereid"
  
• Headhunter incident
  
• Ethiek en Security
  
• De kleren van de keizer zijn dood, leve de nieuwe kleren van de keizer
  
• Over Security Architectuur
  
• Best Practices bestaan niet
  
• Unified Threat Management: dure mensen, goeie spullen?
  
• Security maturity
  
• Komt het nog wel goed
  
• Geen nieuws is goed nieuws
  
• Awareness best belangrijk
  
• Een papieren tijger in een zilveren lijstje
  
• Een goed idee is niet goed genoeg
  
• Uit de loopgraven
  
• Waarom beveiligingsbeleid faalt
  
• Groot slaat dood