Informatieportal voor IT-recht

Dinsdag 29 november 2011

Veiligheid op internet

De elektronische omgeving onveilig?
De eerste vraag die gesteld moet worden is of het internet en alles wat daarmee samenhangt inderdaad onveilig is. Een kort onderzoekje via Google laat al zien dat veiligheid op internet een ‘big issue’ is. Uit de ICT-barometer van Ernst&Young bleek dat 42% van de ondervraagde bedrijven van mening was dat de computercriminaliteit in 2009 was toegenomen (ICT-barometer van Ernst&Young).

De gevaren
Uit het hierboven genoemde onderzoek van Ernst&Young blijkt dat 73% van de ondervraagde bedrijven vooral externe gevaren ziet. Hier worden vooral malware (schadelijke software) en spam (ongewenste reclame) als grote gevaren genoemd. Er is ook sprake van een stijging in de gewaarwording van interne gevaren. Met interne gevaren worden die gevaren bedoeld die niet komen van buitenaf, zoals hackers en virussen, maar van binnen het bedrijf komen. Denk hierbij aan werknemers die slordig omgaan met wachtwoorden en andere belangrijke gegevens.

Een belangrijke conclusie is dan ook dat de menselijke factor steeds belangrijker wordt om de gevaren te beperken. Te verwachten is dat in de toekomst ‘cybercriminaliteit’ steeds meer op mensen gericht zal zijn in plaats van op machines. Een voorbeeld hiervan is het onder druk zetten van een medewerker van een bedrijf om elektronische gegevens te lekken. Deze vorm van computercriminaliteit wordt ook wel ‘social engineering’ genoemd.

Preventie vanuit bedrijven
Bedrijven zijn in potentie de meest waarschijnlijke slachtoffers van cybercrime. Hier is uiteraard het meeste “te halen”. Er zijn een aantal mogelijkheden voor een bedrijf om zich hier tegen te wapenen. Te denken valt aan het up-to-date houden van de beveiligingssoftware. Maar minstens zo belangrijk is het up-to-date houden van de werknemers. En niet alleen de systeembeheerders, maar ook de werknemers die met de netwerken moeten werken. Dit kan door middel van cursussen of voorlichtingsdagen. Een andere manier van beveiliging zou kunnen zijn het 24 uur per dag monitoren van de medewerker door middel van een keylogger of het vastleggen van al het netwerkverkeer. Dit geeft echter voor de medewerker doorgaans een onprettig gevoel en brengt de nodige kosten met zich mee. Tevens zou dit een inbreuk op de privacy van de werknemer kunnen zijn. Dit zou verboden kunnen zijn, tenzij de anonimiteit van de medewerker gegarandeerd kan worden. Een andere mogelijkheid is het instellen van een vertrouwenspersoon bij wie je kunt aankloppen als je bijvoorbeeld gedwongen wordt om gevoelige informatie af te geven (bedreiging of afpersing). Een andere preventieve maatregel is het instellen van een soort ‘boundry’. Dat wil zeggen, elke medewerker krijgt slechts toegang tot het gedeelte van het netwerk dat voor hem belangrijk is, waardoor er nooit iemand is die toegang heeft tot het gehele netwerk. Netwerkbeveiliging heeft niet alleen met technische beveiliging te maken, maar ook met beveiliging van de menselijke factor.

Particulieren en beveiliging
Ook voor particulieren zijn de gevaren in de elektronische omgeving groot. Het verschil met bedrijven is dat particulieren vaak niet de kennis, technische en financiële middelen hebben om effectieve maatregelen te treffen. Toch hoeven de laatste twee zaken geen belemmering te zijn. Op internet zijn talloze goede legale gratis beveiligingstools te vinden. Een groot probleem bij particulieren is echter dat ze dit niet weten. Hier ligt een mogelijkheid voor de overheid om door middel van voorlichting het publiek op de hoogte te stellen van mogelijke gevaren. Een particulier moet vrijwel altijd zijn eigen schade dragen wanneer er problemen zijn doordat zijn netwerk niet goed beveiligd is. Het is bijna onmogelijk de Internet Service Provider (ISP) aansprakelijk te stellen of de daders te vinden. Dit kan een stimulans zijn voor particulieren om actief bezig te zijn met een goede beveiliging van de elektronische omgeving.

De rol van de overheid
Voor de overheid is een grote rol weggelegd als het gaat om het bewustmaken van burgers en bedrijven. Daarom zet de overheid televisie, internet en folders in om dit bewustzijn aan te wakkeren. Dit lijkt echter niet altijd voldoende te zijn om beveiligingsproblemen te voorkomen. Een andere mogelijkheid van de overheid om problemen omtrent veiligheid op te lossen, is door wetgeving up-to-date proberen te houden zodat de vele varianten van cybercrime vervolgd kunnen worden. Voor voorbeelden hoef je alleen maar te kijken bij de onderwerpen die onder Cybercrime staan op deze site. Het ‘internet proof’ maken van wetgeving kan verwezenlijkt worden door bijvoorbeeld te kiezen voor een techniekonafhankelijke formulering van de betreffende wetsartikelen. Hiermee wordt bedoeld dat wetten zo zijn geformuleerd dat ze toepasbaar zijn ongeacht het gebruikte medium. Het wetboek van Strafvordering kent een hele afdeling die gewijd is aan “onderzoek van communicatie door middel van geautomatiseerde werken”. Wat geautomatiseerde werken zijn wordt hierin niet verder uitgelegd. Deze wetsartikelen zijn hierdoor ook in de toekomst toepasbaar, ongeacht nieuwe technische ontwikkelingen.

Conclusie
Internet is onmisbaar in onze maatschappij maar brengt ook risico’s met zich mee. Om deze risico’s te minimaliseren moeten zowel bedrijven als particulieren zich hiervan bewust zijn. Regels omtrent goed internetgebruik moeten bekend zijn en gebruikt worden. Computers moeten beveiligd worden met speciale software en deze software moet ook altijd de laatste up-dates gebruiken. De overheid kan door door middel van voorlichting en techniekonafhankelijke wetgeving een belangrijke bijdrage leveren. Om de veiligheid van het internet te garanderen is een continue inspanning nodig van alle partijen.

Bronnen en verwijzingen

B.J. Koops(red.), Strafrecht en ICT, Den Haag: Sdu uitgevers, 2007.
Convention on Cybercrime, http://www.coe.int/convention%20on%20cybercrime
http://www.ey.com/nl/ict%20barometer