Kale kappers

BEKEND VERSCHIJNSEL: de beroepsgroep die het beste kan vertellen wat je moet doen of laten, volgt zijn eigen adviezen niet op....

Dat laatste is aan het licht gekomen tijdens een recent onderzoek van HIT2000. Aan het hoofd van dit IT-beveiligingsbedrijf uit Haarlem staat Gerrie Mansur. Deze 26-jarige computerfanaat heeft zijn sporen verdiend in het hackerswezen.

In alle stilte nam de Haarlemmer vorig jaar december de websites op de korrel van overwegend Nederlandse bedrijven die andere ondernemers adviseren over hun beveiliging. Bijna honderd werden er via internet vereerd met een bezoekje om na te gaan of ze de boze buitenwereld buiten de deur weten te houden.

Twee maanden later vindt Mansur de tijd rijp om zijn bevindingen bekend te maken. Die liegen er niet om. Iets meer dan de helft van de websites bleek een gemakkelijk doelwit voor digitaal vandalisme. Zonder al te diep spitwerk stuitte hij op informatie die een argeloze bezoeker van een website doorgaans niet onder ogen hoort te krijgen. Gegevens die onbevoegden kunnen gebruiken om pagina's aan te passen.

Mansur is de eerste die erkent dat een 'lekkende' website geen ramp hoeft te betekenen. De meeste bedrijven zetten niet meer dan een visitekaartje op internet. 'Je krijgt vaak alleen de voordeur open', erkent de Haarlemse beroepshacker. 'Maar je vraagt je wel af of ze hun achterdeur wel op slot hebben.' Hij heeft ook alleen de fouten aan het licht willen brengen die iedere argeloze bezoeker zou kunnen opsporen. 'Als we ons best doen, zitten we binnen vijf seconden echt in een netwerk.'

Hoewel Mansur zich heeft ingehouden, heeft hij niet bij de minsten gaten in de beveiliging geprikt. Onder zijn slachtoffers rekent hij gerespecteerde IT-bedrijven als Cisco, Computer Associates, Compaq en Symantec.

Ook de webstek van het Koninklijk Nederlands Instituut van Registeraccountants (Nivra) ging voor de bijl, net als die van de Norea, de club van IT-auditors. Die laatste beroepsgroep heeft bij uitstek de mond vol van beveiliging van computers en netwerken. 'Dit is natuurlijk ernstig', geeft zegsman W. Olthof toe. De Norea heeft nota bene twee weken geleden zijn leden een handleiding gestuurd voor de beoordeling van toepassingen op het gebied van e-commerce (zakendoen op internet). 'Bij zo'n project kun je een lek niet gebruiken. We gaan kijken hoe we onze beveiliging kunnen verbeteren', aldus Olthof.

De Norea is een witte raaf: de meeste bedrijven zwijgen liever in alle talen over steken die ze op internet laten vallen. Toch zijn de beveiligingsproblemen die HIT2000 signaleert allesbehalve uitzonderlijk. Uit een opgave van de Amerikaanse beveiligingsexpert Attrition.org blijkt dat er vorig jaar wereldwijd 5823 websites van ondernemingen en organisaties van buitenaf werden 'beklad'. In 1999 waren dat er nog maar 3746.

Over de oorzaak van dit grootscheepse vandalisme is Attrition.org duidelijk. 99 Procent van alle inbraken had voorkomen kunnen worden als de beheerders van websites ervoor hadden gezorgd dat hun systemen bij de tijd waren geweest. De producenten van sofware voor websites bestrijden defecten en lekken met een soort digitale pleisters, reparatie-programma's die van internet kunnen worden geplukt. Veel bedrijven verzuimen vaak dat onderhoudswerk uit te voeren. Mansur zocht naar gebreken die al zeker zes maanden bekend waren.

De nalatigheid in de IT-sector is omvangrijk, stelt het Honeynet Project, een Amerikaanse beveiligingsorganisatie. Van de kwetsbare internet-computers wordt 80 procent binnen drie weken door hackers opgemerkt. Er is zelfs een apart slag inbrekers - script kiddies genoemd - die niets anders doen dan op internet checken of een website tegen de laatste ziekten is ingeënt.

Mansur vindt dat de beveiligers bij uitstek hun zaken op orde horen te hebben. Een kale kapper is tenslotte ook geen gezicht. Nu maar wachten op een branchegenoot die HIT2000 scheert.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden