Fragment

Hysterie rondom ddos-aanvallen is overdreven

  1. Fragmentenchevron right
  2. Hysterie rondom ddos-aanvallen is overdreven

Niemand wil gehackt worden, een digitaal virus oplopen of een ddos-aanval te verduren krijgen. Beveiligen, beveiligen, beveiligen dus! Maar volgens mr. dr. ir. Bernold Nieuwesteeg is er nagenoeg geen controle op de markt van de slimme, commercieel verstandige softwarebeveiligers. We weten nauwelijks wat onze investeringen in digitale veiligheid opleveren. 

Luister hier de Jortcast over dit onderwerp, met dr Bernold Nieuwesteeg en extra commentaar van dr Kelder. Abonneer je op de Jortcast via je favoriete podcastplatform, bijv. iTunes of Stitcher.

Cybersecurity is trendy en elk bedrijf doet er wel íets aan. "Je hebt de bedrijven die net een aanval hebben gehad, misschien DigiD, waarbij de angst toeslaat", zegt Nieuwesteeg die eind juni promoveerde op cybersecurity aan de Erasmus Universiteit. Bij hacks en ddos-aanvallen ontstaat veel publieke aandacht in de media, waardoor bedrijven denken: dit nooit meer. "En dan is het 'doe mij maar alles van de menukaart van die software-beveiliger." Over wat de softwarebeveiligers daarvoor in rekening brengen wordt vervolgens niet gepraat - digitale veiligheid is 'gewoon heel erg belangrijk', voor je het weet ligt je website er drie keer op rij uit door een ddos-aanval. Investeren in die veiligheid dus, denken bedrijven en overheidsinstanties. Volgens Nieuwesteeg is die hysterische angst voor aanvallen overdreven en bovendien is hij sceptisch over de effectiviteit van maatregelen die beveiligers aandragen.  

Tegenwicht

"Als we over tien jaar nu hier zitten en we gaan terugkijken dan denken we echt: waar zijn we mee bezig op dit moment met cybersecurity.” Nieuwesteeg heeft het dan vooral over de maatschappelijke instituties. "De enigen die informatie de markt in gooien op het gebied van cybersecurity zijn de software-beveiligers." Er is daardoor volgens hem een gebrek aan tegenwicht, aan toezicht. Als metafoor gebruikt Nieuwesteeg ons zorgsysteem, waar een zorgautoriteit toezicht houdt op de zorginstellingen. Volgens Nieuwesteeg ontbreekt zoiets op het gebied van cybersecurity.  {quote caption="De meeste kennis over cybersecurity zit op dit moment bij de softwarebeveiligingsbedrijven. Daardoor krijg je toch heel vaak een WC-eend verhaal." author="mr. dr. ir. Bernold Nieuwesteeg" } Een dienst op de menukaart van software-beveiligers waar Nieuwesteeg bijvoorbeeld zijn twijfels bij heeft, is de penetration test. Het bedrijf kan dan meekijken hoe de softwarebeveiliger digitaal bij het bedrijf probeert binnen te komen. "De hamvraag is dan natuurlijk: hoeveel veiliger wordt je daardoor?" Op navraag van Nieuwesteeg kon een softwarebeveiligingsbedrijf hem het antwoord niet geven.

Wat is een ddos-aanval?

Bij een ddos-aanval dringt de aanvaller niet 'binnen', maar stuurt hij zoveel internetverkeer op een organisatie af dat die onbereikbaar is. "Daar moet je wel veel firepower voor hebben, maar die is heel makkelijk te kopen op de zwarte markt", aldus Nieuwesteeg. Een handige scholier zou het zelf op z’n zolderkamertje kunnen doen.

De meeste kennis over digitale veiligheid zit op dit moment dus bij het bedrijfsleven. Volgens Nieuwesteeg is het hoog tijd dat de overheid en de wetenschap op een hoger niveau gaan kijken naar welke investeringen nu daadwerkelijk leiden tot meer veiligheid. "Anders krijg je toch heel vaak een WC-eend verhaal, van 'onze maatregelen zijn het best'", zegt Nieuwesteeg. "Wetenschap kan juist bij uitstek in die onafhankelijke positie heel goed beoordelen hoe effectief maatregelen zijn."