Monday, September 1, 2014
2

Zal de volgende crisis een cybercrisis zijn?

CAMBRIDGE – Toen de financiële crisis in 2008 toesloeg, vroegen veel geschrokken critici zich af waarom de markten, toezichthouders en financiële deskundigen die crisis niet hadden zien aankomen. Vandaag de dag zou je dezelfde vraag kunnen stellen over de kwetsbaarheid van de wereldeconomie voor cyberaanvallen. De overeenkomsten tussen financiële crises en de risico's van cyberaanvallen zijn opmerkelijk.

Hoewel de grootste dreiging op dit gebied uitgaat van schurkenstaten met het vermogen om enorm geavanceerde computervirussen te ontwikkelen, kan het gevaar ook komen van anarchistische hackers en terroristen, en zelfs van computeruitval, in samenhang met natuurrampen.

Een paar veiligheidsdeskundigen hebben groot alarm geslagen, waaronder – zeer onlangs – Jonathan Evans, het hoofd van de Britse geheime dienst (MI5). Maar alles bij elkaar zijn weinig leiders bereid de groei in de technologiesector of op het internet op een of andere manier in de waagschaal te stellen uit naam van een dreiging die zó amorf is. In plaats daarvan geven ze er de voorkeur aan betrekkelijk tandeloze werkgroepen en 'task forces' op te zetten.

Het is moeilijk de afhankelijkheid van moderne economieën van grootschalige computersystemen te overschatten. Maar stel dat op een dag een hele groep essentiële communicatiesatellieten zou worden uitgeschakeld, of dat de databases van grote financiële systemen zouden worden gewist.

Deskundigen hebben het elektriciteitsnetwerk lange tijd als de meest kwetsbare infrastructuur aangewezen, omdat iedere moderne economie zonder stroom zou instorten. Veel sceptici betogen dat grootschalige cyberaanvallen met redelijk goedkope, preventieve maatregelen goeddeels te voorkomen zijn, en dat doemprofeten de ergste scenario's overdrijven. Ze zeggen dat het vermogen van cyberterroristen en chanteurs om de wereldeconomie aan de rand van de afgrond te brengen, zoals in de Bruce Willis-film Die Hard 4 uit 2007, louter fictie is.

Het is moeilijk te beoordelen wie gelijk heeft, en beide kampen in het debat kunnen bogen op de steun van belangrijke experts. Maar er lijkt sprake te zijn van een oncomfortabel aantal overeenkomsten tussen de politieke economie van het toezicht op cyberspace en het toezicht op de financiële sector.

In de eerste plaats zijn zowel de cyberveiligheid als de financiële stabiliteit buitengewoon ingewikkelde onderwerpen, die voor de toezichthouders nauwelijks te behappen zijn. Experts kunnen in de particuliere sector vele malen meer verdienen dan bij de overheid, en de knapste koppen worden voortdurend weggekocht. Als gevolg daarvan betogen sommigen dat de enige oplossing is gelegen in zelfregulering van de softwaresector. Dit argument doet tegenwoordig opgeld voor veel meer moderne sectoren, zoals die voor voedsel, medicijnen en financiële diensten.

In de tweede plaats is de technologische sector, net als de financiële, politiek enorm invloedrijk via campagnebijdragen en lobbywerk. In de Verenigde Staten moeten alle presidentskandidaten op pelgrimage naar Silicon Valley en andere technologiecentra om geld op te halen. De buitensporige invloed van de financiële sector was uiteraard een van de fundamentele oorzaken van de crisis van 2008 en blijft een grote rol spelen in de aanhoudende problematiek van de eurozone.

In de derde plaats lijkt de informatietechnologie, nu de groei in de geavanceerde economieën vertraagt, de hoop voor de toekomst in te houden, zoals dat vijf jaar geleden het geval was met de financiële sector. Onhandige pogingen van regeringen om toezicht af te dwingen zullen waarschijnlijk ineffectief blijken bij het bieden van bescherming tegen catastrofes, maar zeer effectief in het wurgen van de groei.

In beide gevallen – financiële stabiliteit en cyberveiligheid – leidt het besmettingsrisico tot een situatie waarin er een kloof kan ontstaan tussen het particulier initiatief en sociale risico's. Vooruitgang in de technologiesector levert vaak grote voordelen op op het gebied van de sociale voorspoed, die de voordelen die andere sectoren in recente decennia hebben voortgebracht overtreffen. Maar net als bij kerncentrales kan vooruitgang bij ontstentenis van een goed toezicht een verkeerde wending nemen.

Tenslotte komen de grootste risico's voort uit arrogantie en onwetendheid, twee menselijke eigenschappen die tot de kern van de meeste financiële crises behoren. Recente onthullingen over de supervirussen 'Stuxnet' en 'Flame' zijn bijzonder verontrustend. Deze virussen, blijkbaar ontwikkeld door de Verenigde Staten en Israel om het nucleaire programma van Iran te ontwrichten, zijn veel geavanceerder dan wat tot nu toe bekend was. Beiden zijn uitgebreid versleuteld en moeilijk te ontdekken als ze eenmaal in een computer zijn binnengedrongen. Het Flame-virus kan de randapparatuur van een computer overnemen, Skype-gesprekken opnemen, foto's nemen met de computercamera en informatie via Bluetooth versturen naar ieder apparaat dat zich in de buurt bevindt.

Als de meest ontwikkelde staten ter wereld computervirussen ontwikkelen, welke garantie is er dan dat er niet iets fout gaat? Hoe kunnen we er zeker van zijn dat ze niet 'ontsnappen' en een veel bredere groep systemen besmetten, of voor ander gebruik worden aangewend, of dat toekomstige schurkenstaten of terroristen geen manier zullen bedenken om ze tegen hun bedenkers in te zetten? Geen economie is kwetsbaarder dan die van de VS, en het is arrogant om te geloven dat de Amerikaanse cybersuperioriteit (ten opzichte van iedereen, behalve wellicht China) het land immuun zal maken voor aanvallen.

Helaas is de oplossing niet zo eenvoudig als het maken van betere anti-virusprogramma's. Bij de bescherming tegen virussen en de ontwikkeling van nieuwe virussen is sprake van een ongelijkwaardige wapenwedloop. Een virus kan slechts een paar honderd regels computercode omvatten, vergeleken met de honderdduizenden regels van anti-virusprogramma's, die moeten worden ontworpen om grote groepen potentiële vijanden te kunnen detecteren.

Er wordt tegen ons gezegd dat we ons geen zorgen hoeven te maken over grootschalige cyberaanvallen, omdat er immers nog nooit een heeft plaatsgevonden en overheden waakzaam zullen zijn. Helaas is een van de andere lessen van de financiële crisis dat de meeste politici domweg niet in staat zijn moeilijke knopen door te hakken voordat de risico's werkelijkheid zijn geworden. Laten we hopen dat we nog iets langer geluk zullen hebben.

Vertaling: Menno Grootveld

Hide Comments Hide Comments Read Comments (2)

Please login or register to post a comment

  1. Commentedsrinivasan gopalan

    The implicit message delivered by Prof.Rogoff needs to be understood by serious-minded people. If developed countries cruising on the information super highway develop computer viruses to wreak havoc on the so-called rogue States, what a real rogue State or an aberrant techie can do to inflict systemic damage to the web world in his/her own way that would leave a seismic impact on the highly inter-connected internet world in general or in any specific target in particular. It is time that instead of spending humongous money on unleashing virus to combat the potential threats of rogue States, the advanced countries desisted from opening the obnoxious genie of viruses. The fallout of any such perilous course would, like the financial tsunami that hit the western world with its contagion effects on the rest of the world, be too horrendous to contemplate. The wake-up call to the patent folly by the US government to play with cyber world in the name of ensuring cyber security needs to be heeded if the rest of the world were not being turned as ideal ground for costly experiments. G.Srinivasan. New Delhi

  2. CommentedA. T.

    There is a very, very important difference. With finance (as with most other previous shocks), the threat was big and centralised (it were the "too big to fail" and "systemically important" institutions that brought the financial system to its knees, not Mr Beams the independent day-trader from Topeka). Effective ways of preventing the crisis could then be big and centralised as well.

    The cyber threat, on the other hand, is fluid and distributed. When it comes, it will likely be the result of a small and independent group exploiting problems in decades-old control software of municipal systems, not anything from the "enormously influential" tech industry. The solution, to be effective, must therefore be bottom-up and distributed as well.

    NOTHING will make the country more prone to cyber-attack than believing that it is a problem that can be solved from Washington. The government can perhaps pressure utilities and municipalities to start taking cyber-security more seriously (or even offer free 'white-hat' mock attack audits from the NSA), but there is no one-size-fits all solution for it to design and impose.

Featured