Zijn ict-beveiligers eigenlijk nog wel te vertrouwen?

Waarom rapporteert het Russische Kaspersky voornamelijk over Amerikaanse spionagemalware en zijn Amerikaanse securitybedrijven als CrowdStrike en FireEye vooral goed in het ontdekken van Russische en Chinese aanvallen? Toeval of moedwillige selectie?

De meeste details over de Amerikaans/Israelische aanval met Stuxnet op de kerncentrales van Iran kwam van een Russische ict-beveiligingsbedrijf, Kaspersky. Daarentegen was het bedrijf nogal laat met zijn bevindingen over de Russische aanvallen op Europese en Amerikaanse doelen. Aan de andere kant van de oceaan, in de Verenigde Staten, worden door Amerikaanse ict-beveiligers juist vooral Chinese aanvallen ontdekt, maar is het vrijwel stil over Amerikaanse staatsmalware.

Is dat toeval of zit hier meer achter? Zijn de ict-beveiligers wel te vertrouwen of spelen ze onder een hoedje met de regeringen van de landen waar ze gevestigd zijn?

Balkanisering van de beveiliging

Hoewel persbureau Reuters op bekwame wijze alle opties open houdt, is er in eerste instantie een vrij logische verklaring te geven. Het is een natuurlijk gevolg. Reuters spreekt wat overdreven over de balkanisering van internetbeveiliging, maar de geografische achtergronden spelen een grote rol. Immers, Amerikaanse beveiligingsbedrijven worden vertrouwd door Amerikaanse ondernemingen en die liggen logischerwijs meer onder vuur van Chinese digitale spionnen dan Amerikaanse.

Aan de andere kant heeft Kaspersky een groot aantal afnemers van zijn producten in landen die onder vuur liggen van de Amerikanen, zoals Iran. Dat levert dus meer data op over malware die van Westerse origine is. Vervolgens levert de openbaring daarvan juist weer meer status op bij bedrijven en organisaties in landen die de VS als natuurlijke vijand beschouwen en dus worden de producten van Kaspersky daar weer meer verkocht. Een natuurlijk gevolg dus.

Daarnaast, zo schrijft Reuters, weigeren bedrijven als CrowdStrike hun dure spullen te verkopen in landen als Rusland of China. “We zijn selectief in onze klantkeuze”, zegt Dmitri Alperovitch van CrowdStrike tegen Reuters. “Je kan niet van twee walletjes eten.”

Je moet een kant kiezen in de oorlog

Dat geeft wel aan hoe er in beveiligingsland wordt gedacht: ict-security is leuk, maar in de huidige digitale oorlog moet je wel een zijde kiezen. Betekent dat dan ook dat malwareaanvallen van bevriende naties onder de pet worden gehouden? De betrokken bedrijven ontkennen tegen Reuters in alle toonaarden.

Hoewel in het artikel twee voorbeelden worden genoemd waarin Kaspersky wel erg laat met details over Russische malware kwam, vindt oprichter Eugene Kaspersky dat niet verwijtbaar. “Je kan niet altijd de kampioen zijn.” Maar Reuters zegt wel op basis van anonieme bronnen dat er intern bij Kaspersky nogal wat discussie is ontstaan over het wel of niet vrijgeven van details over onder meer de aanval via Red October.

Maar Mikko Hypponen, van F-Secure, vertrouwt het allemaal niet zo erg meer. Volgens hem wordt het zelfs zo dat beveiligingsproducten in de toekomst wellicht de meest belangrijke ingang worden voor aanvallers om een netwerk binnen te dringen.

Het inbrengen van een backdoor in dergelijke producten zou een verwoestende impact kunnen hebben op de economie en het vertrouwen van het publiek in het internet, zegt Dan Kaminsky van White Ops. Het gedrag van sommige beveiligingsbedrijven zou een dergelijke gevaarlijke toekomst snel naderbij kunnen brengen, zo vreest hij.

13 mrt. 2015 door René Schoemaker