„Intelligent
criminal"
vaak
slimmer
Mens steeds afhankelijker van computer
B BB I BI
ZATERDAG 11 APRIL 1981
PAGINA 19
Preventie nog blinde vlek
Steeds meer taken worden aan
de computer toevertrouwd.
En daarmee maakt het (be
drijfsleven zich meer en
meer afhankelijk van dat ge
heimzinnige apparaat. Zo
lang het allemaal goed gaat
is er niets aan de hand na
tuurlijk. Maar valt die com
puter uit of wordt ermee 'ge
sjoemeld' dan is het leed
niet te overzien.
Zoals kortgeleden bleek in
Rotterdam, waar een weten
schappelijk medewerker de
computerbanden van een
onderzoek naar een ernstige
oogziekte maar bij de vuil
nisbak had gezet. Uit wraak,
omdat hijzelf het onderzoek
niet had kunnen afronden.
Jammer van de kostbare ge
gevens.
In Amerika staat de preventie
tegen computermisbruik al
hoog in het vaandel geschre
ven. Nederland is wat dat
betreft nog lang niet zover.
Viditel bijvoorbeeld, het
PTT-experiment waarmee
via een telefoonlijn, compu
ter en tv-scherm informatie
kan worden verkregen, is
ook totaal niet beveiligd.
Deze week werd bekend dat
via Viditel illegaal wordt
gegokt en dat er op talloze
andere wijzen misbruik van
het dure systeem wordt ge
maakt.
Sn in haar jaarverslag meldt
de Algemene Rekenkamer
deze week dat ook de over
heid faalt in de beveiliging
van computers. De ministe
ries van sociale zaken en
volksgezondheid en milieu
hygiëne met name zouden
hun rekencentra onvoldoen
de hebben beveiligd tegen
misbruik, zo stelt de reken
kamer. Bovendien zijn er
geen richtlijnen wat te doen
bij noodsituaties.
De afhankelijkheid en daar
door de gevaren die het uit
vallen van een computerin
stallatie met zich mee kan
brengen worden nog onder
schat. Onterecht. waar
schijnlijk. Want uit een on
derzoek van de universiteit
van Minnesota blijkt dat 50
tot "5°o van de onderzochte
bedrijven in Amerika bin
nen 5'ï dag komen stil te lig
gen als de computer is uitge
vallen. En in bepaalde be
drijfstakken. zoals banken,
is die periode nog korter.
Twee dagen.
Computerpreventie is in Ne
derland nog een blinde vlek.
Het Rotterdamse bedrijf
Computer Security Consul
tants 'Coseco' sprong bijna
drie jaar geleden in de open
markt. Zijn directeur A. van
Mil (62) over de huidige
stand van zaken: "Er is geen
reden voor paniektoestan
den. Wel voor waakzaam
heid. Er is in Nederland op
het gebied van computer-
misbruik al genoeg gebeurd.
Maar men wil het niet we
ten."
De afhankelijk van de mens
aan de computer is groot.
"Het is in sommige bedrij
ven zó sterk dat er geen kar
meer geladen kan w orden of
geen schrijfmachine worden
vervaardigd *onder compu
ter. Denk maar eens aan
postorder-bedrijven of wa
renhuizen."
ROTTERDAM - Het kan een brand zijn, maar ook
een dijkdoorbraak, een bomaanslag, een gijzelings
zaak. Of werknemers zelf slaan aan het knoeien en
vervalsen. Maar gaat er iets mis in een computer
centrum dan staan de programmeurs met de han
den in het haar. In een ondergelopen rekencentrum
is het moeilijk werken. Zonder programma steekt
zelfs de duurste computer geen hand uit.
Een simpel voorbeeld. Stel dat
bij een (hypotheek)bank de
computer uitvalt. Vanaf dat
moment is van geen enkele
klant het saldo meer na te kij
ken of zijn er hypotheekbere
keningen te maken.Er kan
eenvoudigweg niets meer
worden gestort of opgeno
men - de handelingen van de
bank zijn geblokkeerd. Met
alle desastreuze gevolgen van
dien. Geen gegevens, geen
geld. Niet alleen de bank kan
erdoor worden getroffen, óók
de klanten.
Nog een voorbeeld, maar dan
één waarbij interne factoren
voor de problemen zorgen.
De gefrustreerde systeem-
programmeur die het bedrijf
waar hij werkt wel eens zou
pakken. Hij ontvreemdt het
programma dat maandelijks
werd gebruikt om de lonen
uit te betalen, plus bijbeho
rende documentatie. Een
voudig door de banden in
zijn tas te stoppen. Via stro
mannen richt hij zijn eigen
software bv op. Als het einde
van de maand eenmaal is
aangebroken vindt men wel
de input (gegevensmutaties)
maar geen programma. Na
een paar chaotische dagen
wendt de programmeur zich
tot zijn financieel directeur.
Een man die zoals zovelen
óók niet precies weet hoe
zo'n computer nou werkt. De
werknemer vertelt hem een
bedrijf te kennen dat nage
noeg hetzelfde programma
gebruikt. Dat progremma
kan worden gekocht voor
60.000 gulden En zo koopt
dat bedrijf in het oosten van
het land zijn eigen, iets gewij
zigde. programma terug. Na
tuurlijk ontdekt men na ver
loop van tijd hoe de vork
werkelijk in de steel zit. Te
gen de werknemer valt ech
ter niets te bewijzen.
Dergelijke slinkse diefstallen
zijn volgens Van Mil allang
geen uitzondering meer.
maar ze worden nog steeds
onderschat.
Vandaar dat hij vanaf de op
richting van zijn security-be-
drijf aandringt op méér be
veiliging van de computer.
Een brandend computercentrum. Wie neemt de taken tijdelijk i
Zijn bedrijf staat op twee po
ten. De ene poot is de be
scherming van de apparatuur
tegen de eigen employees, de
andere is die van de beveili
ging tegen externe factoren:
de rampen en branden.
De computerprogrammeurs en
systeemanalisten die van hun
kennis gebruik (misbruik)
maken door fraude of diefstal
te plegen via de computer be
titelt Van Mil als 'intelligent
criminals'. Hij wijst op cij
fers, alweer uit Amerika, die
aantonen dat de gemiddelde
bankoverval 'slechts' 10 000
dollar oplevert. De banken
beschikken vandaag de dag
over zoveel preventiemoge
lijkheden, daar valt niet te-
Van Mil: "Geen paniektoestanden. Wél waakzaamheid"
genop te stellen. De gemid
delde buit bij een computer
fraude ligt echter rond de
miljoen dollar, aldus die cij
fers van de FBI-statistiek.
"En in ons eigen land gebeurt
óók genoeg. Alleen: men wil
als men het al weet dit niet in
de publiciteit brengen. Men
houdt de vuile was liever bin-
Optimisten zullen de FBI-cij-
fers afwijzen omdat "Ameri
ka ver weg is". Een stelling
die Van Mil krachtig van de
hand wijst. "Iedereen weet
dat alles wat in Amerika
speelt vroeger of later naar
Europa overwaait."
Hij schetst de 'intelligent crimi
nal' met weer een voorbeeld
uit de praktijk.
Een programmeur, midden
dertig, 'n topfunctie bij een
computercentrum. neemt
ontslag. Opent (telkens ver
momd) veertig verschillende
bankrekeningen. Verhuurt
zich vervolgens als leerling-
operator "omdat het vak zo
boeiend lijkt". Wordt dan te
werk gesteld in de nachtshifi.
het minder intelligente print
werk dat 's nachts wordt uit
gevoerd. Opmerkelijk ge
noeg is de bewaking 's nachts
ook minder secuur, weet de
'criminal', omdat er dan toch
"minder intelligente men
sen" werken. Hij dumpt het
besturingsprogrammisme
van de computer op tape.
Weet dit voor elkaar te krij
gen zonder dat het wordt ge
registreerd. Stopt het 'wiel
tje' in zijn binnenzak en
smokkelt het programma het
bedrijf uit. Thuis weet hij het
zo te herprogrammeren dat
de uitkerings-cheques die de
computer maandelijks uit
braakt voor een deel op zijn
naam komen te staan. Hij
hoeft daarvoor slechts op
dracht te geven de namen
van de begunstigden in zijn
naam te veranderen. Daarbij
stelt hij zich tevreden met
een aantal cheques tot de to
tale waarde van één miljoen
dollar. Daarna loopt de com
puter in zijn oude spoor te
rug. Zijn eigen instructies
veegt de 'criminal' keurig
weer uit.
Vervolgens neemt hij ontslag
"omdat het toch niet iets is
wat ik zoek" en gaat hij thuis
zitten wachten. En ja. op de
28-ste stromen de cheques
binnen. Hij kan ze middels de
40 verschillende bankreke
ningen, wederom vermomd,
soldaat maken.
Pas na ettelijke dagen komen
verontruste telefoontjes bij
het bedrijf binnen waar de
cheques blijven. In de com
puter is op dat moment niets
meer te vinden van welke
fout dan ook. De controlelijst
bevat immers weer de juiste
namen. Na drie dagen begint
men enige argwaan te koeste
ren, maar dan is de 'leerling
operator' uiteraard al naar
zonniger oorden vertrokken.
Ook in dit geval geen sprake
van enig bewijs, slechts van
een vermoeden.
Naast het controleren van de ei
gen mensen is het volgens
Van Mil noodzakelijk dat elk
bedrijf z'n eigen rampenplan
heeft klaarliggen. Er bestaat
geen doorsnee-plan. Elk be
drijf dat met een computer
werkt zal zijn eigen plan moe
ten hebben, afgestemd op de
eigen situatie In zo'n plan
moet exact staan beschreven
wat er na de "ramp" moet ge
beuren. In totaal ongeveer
met 180 punten, variërend
van de manier waarop alarm
moet worden geslagen tot de
instructies aan diverse perso
neelsleden. Er zijn in Neder
land nog maar weinig bedrij
ven die zo'n kant-en-klaar
plan in de kast hebben lig
gen. Welgeteld één procent
van de bedrijven is in het be
zit van een dergelijk plan. De
overigen zijn of met de ont
wikkeling ervan bezig, of be
roepen zich op de solide
brandvrije brandkast waarin
reserve computergegevens
liggen opgeslagen. Maar dit
meubelstuk is al jaren achter
haald. "Je kunt er mooi niet
bij als het aan de muur hangt
in de kamer waar de brand
woedt. Of het ding staat in de
kelder, bedolven onder het
puin" zo voorspelt Van Mil.
Handkracht
En de aloude handkracht? Dat
ging toch jaren goed, waarom
zou een bedrijf daarop niet -
tijdelijk - kunnen terugval
len?
"Er zijn wel bedrijven waar het
misschien nu nog mogelijk
zou zijn om op handkracht te
rug te schakelen. Mits zo'n
bedrijf de juiste formulieren
nog heeft en mensen die er
nog mee kunnen werken.
Maar in het algemeen wordt
teruggaan naar handwerk
echt als een onmogelijkheid
In veel gevallen is het to
taal niet mogelijk. Door de
gecompliceerdheid van de
processen of domweg door
de gigantische hoeveelheid
gegevens waarmee wordt ge
werkt."
Filosoferend "De computer is
de achilleshiel van het bedrijf
geworden Hij hoort daarom
ook het alleréérst te worden
beschermd bij een brand of
een bezetting. Ik wil de men
sen geen paniek aanpraten,
alsjeblieft geen paniektoe
standen. Maar we mogen best
met gebruikelijke Hollandse
nuchterheid kijken naar de
risico's die er zijn."
Van Mil beaamt dat die risico's
bij bankinstellingen het
grootst zijn. Daar staat tegen
over dat juist de banken zich
het sterkst van de afhanke
lijkheid van de computer zgn
doordrongen. "De banken
zijn wel ingedekt. Daar hoef
je je niet het eerst bezorgd
om te maken."
Naast zijn streven 'elk bedrui
z'n eigen rampenplan' heeft
Coseco meer pijlen op zijn
boog. Van Mil. die zijn con
versatie constant met engels-
talige termen doorspekt, de
computerman eigen, heeft
het over de 'empty shell'.
"Pure noodzaak" zegt hij. "Er
zijn bedrijven het zich veelal
niet kunnen permitteren
door computeruitval een
week of langer stil te liggen-
.Sommige soorten van bedrij
ven zouden daar wekelijks
tien miljoen gulden schade
door lijden" weet hij. Vol
gens zijn systeem kunnen be
drijven zich abonneren op de
"empty shell". Letterlijk: een
lege schelp. Een rekencen
trum dat binnen 3x 24 uur
naast het (verwoeste'' uitge
brande?) rekencentrum is op
gebouwd en ingericht. Com
pleet met telefoon, energie
voorziening en PTT-hjnverbin-
dingen met voedingspunten
voor de computer. De gebrui
ker hoeft alleen zijn eigen ap
paratuur mee te nemen. Het
plan voor de snelle opbouw
van de empty shell wordt in
mei gelanceerd Coseco
denkt tegen die tgd de spe
ciale methodiek om een re
kencentrum binnen L'4
uur op te zetten voor 100** te
hebben ontwikkeld. Norma
liter is het een proces dat
maanden in beslag neemt.
Kosten van deze verzekering
gemiddeld een slordige 4U
mille, dat wel.
Maar voor dat geld is een be
drijf ervan verzekerd binnen
drie dagen weer aan het werk
te kunnen. In een ruimte die
aan de behoefte van de com
puter is aangepast qua tem
peratuur. vochtigheidsgraad,
wat de speciale verhoogde
vlocr-eisen airconditioning
en data-comminiquatiecen-
trum betreft. Een idee dat
werd geboren uit de praktijk
ervaring. Die leert dat een
brand meestal niet in de com
puterruimte zelf ontstaat.
Eerder gebeurt dat in het in
put-centrum. waar minder
stringent aan beveiliging
wordt gedaan Vandaar dat
het kan voorkomen dat bg
een brand niet de ruimte,
maar wel de computer wordt
gespaard.
Bovendien wordt de eigenlijke
computerruimte meer en
meer angstvallig afgesloten.
Niet alleen voor bezoekers -
de meeste rekencentra zijn
niet voor belangstellenden
toegankelijk- ook voor perso
neelsleden zelf. "Geloof me"
zegt Van Mil "er zijn pro
grammeurs of analisten die
nog nooit een computer in le
venden lijve hebben gezien
Tegen wie wordt gezegd blijf
maar achter je bureautje zit
ten met een terminal voor je
De paar 'bevoorrechten' die de
computerruimte zelf mogen
betreden doen dat doorgaans
na omslachtige bcveiligings-
procedures. Ondanks al die
voorzorgsmaatregelen zal
computerfraude of -uitval
nooit helemaal te voorkomen
zijn, gelooft Van Mil NVcm
dat computercentrum in Ro
me" zegt hg. weer direct een
voorbeeld aanhalend "Nota
bene gebouwd in een blinker
Op en top beveiligd Komt er
een oud vrouwtje een pakje
brood voor haar man afge
ven, die daar werkt. Ze komt
zonder meer door de contro
le."
Zwijgt even, als om het efTect
van zgn woorden te vergro
ten. "Maar er zat dus wc! een
bom in dat pakje brood."
Overvallen op computercentra
zijn volgens hem toch aan de
orde van dc due in iLihf Vfitf
per jaar gaan er in dat land
gemiddeld de lucht in. "Er is
zelfs een boekje van de Rode
Brigade, dat heet how to at
tack computercentra' zegt
Van Mil ietwat spottend
"Hee l zwart wit gesteld" ver
volgt hij "ook de Russische
g< h« irm du nst zou morgen
kunnen beslissen om de eco
nomie in het westen op een
simpele manier plat te leg
gen Gewoon, door de com
puters hier uit te schakelen
Nogmaals ik wil niet doem
denken, maar zoiets kan wél
gebeuren Al weet ik niet hoe
groot die kans is En de com
puter is niet voor honderd
procent te beschermen Ja.
voor de massa zal het moei
lijk zgn om in te breken.
Maar voor onze intelligente
criminal toch nief Dat
maakt dit vak zo mocilgk. Er
zullen altgd mensen zgn die
intelligenter zgn dan het in
telligentste bevciligingssy
steem. Ze maken gewoon ge
bruik van een verslapping,
van een gat in dat systeem
Een staatje uit het onderzoek i
nputeruitral nog r
Minnesota Daaruit blijkt dat technische bedrtjuen
•an hun oorsprongkelijke akfinteiten zitten.