Veilig de wereld rond met crypto-chip
De Nederlandse overheid vertrouwt haar staatsgeheimen toe aan Fox-IT. Vorige maand kreeg het computerbeveiligingsbedrijf uit Delft de opdracht voor de ontwikkeling van een nieuwe crypto-chip, waarmee vertrouwelijke informatie in geheimschrift kan worden vercijferd.
Een anoniem kantoorpand langs de A13, pal naast de parkeerplaats van Ikea Delft. Na de receptie een paar glazen deuren door en je staat aan het eind van een gang voor een witte deur met een rood verbodsbord. ,,Dit is verboden terrein'', legt Ronald Prins uit, directeur van Fox-IT. Slechts acht werknemers van het computerbeveiligingsbedrijf mogen hier naar binnen, en af en toe een gescreende schoonmaker die bij het bedrijf in dienst is. Bij een inval zou zelfs de politie deze ruimte niet mogen betreden.
Met een elektronische sleutel opent Prins de deur om binnen iets te pakken. Het bezoek mag slechts een steelse blik in de kamer werpen. Een paar jongemannen achter beeldschermen, wat is daar bijzonder aan?
Pas als de deur weer op slot is, geeft Prins uitleg. In de beveiligde ruimte bewaakt zijn bedrijf de computernetwerken met de staatsgeheimen van Nederland. De verslagen van de ministerraad, gevoelige informatie over informanten van justitie, ,,alles wat een beetje spannend is'', zegt Prins, wordt hier beschermd tegen hackers en andere niet-geautoriseerde gebruikers.
De Nederlandse overheid is de grootste klant van Fox-IT. Vorige maand kreeg het bedrijf de opdracht om een nieuwe generatie crypto-chips te ontwikkelen, bedoeld voor de vercijfering van geheime overheidsinformatie (zie kader). Maar ook de politiebranche, diverse multinationals, banken en verzekeraars hebben het bedrijf ingeschakeld om zich te wapenen tegen de snel oprukkende computercriminaliteit.
Fox-IT werd in in 1999 opgericht door Ronald Prins (36) en Menno van der Marel (32). Prins studeerde wiskunde, met als specialisatie cryptografie, geheimschrift. Van der Marel verdiepte zich als natuurkundige in digitale informatieopslag. Beiden traden halverwege de jaren negentig in dienst bij de net opgerichte afdeling computeronderzoek van het Nederlands Forensisch Instituut (NFI), het voormalig Gerechtelijk laboratorium. Daar waren ze betrokken bij het eerste digitale recherchewerk in Nederland: het ontcijferen van de gecodeerde boekhouding van drugshandelaar Etienne U. Ook hielpen ze met het realiseren van de eerste internettap.
Het NFI zette de computerafdeling groots op. Maar grote technische uitdagingen waren er niet, stelden Prins en Van der Marel al snel vast. Bij de criminelen ontbrak het nog aan digitaal vernuft. Computers vol kinderporno, daar ging de meeste tijd mee heen. Bovendien ergerde het de twee forensische rechercheurs dat het NFI aan het eind van de onderzoeksketen zat. Zes weken na een inval kregen zij een in beslag genomen computer doorgaans pas in handen.
Tijdens een partijtje squash besloten Prins en Van der Marel voor zichzelf te beginnen. Als criminelen over zo weinig digitale kennis beschikten, zou het dan bij het bedrijfsleven veel beter zijn? Als ondernemers zagen ze brood in de preventie van computercriminaliteit.
Door de reputatie die ze bij het NFI hadden opgebouwd, konden ze meteen aan de slag. Ze bouwden beveiligde computernetwerken voor de politie, gaven trainingen en adviseerden bedrijven als Akzo hoe ze hun informatieverkeer konden beschermen. Zonder noemenswaardige marketinginspanningen groeiden ze in korte tijd naar een bedrijf met 52 personeelsleden. Prins: ,,We zijn nooit een sales-gedreven bedrijf geweest. Mond-tot-mondreclame onder corporate chefs, daar moeten we het van hebben. In onze wereld is alles gebaseerd op vertrouwen.''
En hoe verdien je dat vertrouwen? Door hoge standaarden te zetten en geen fouten te maken, zeggen Prins en Van der Marel. Door met zorgvuldig gescreend personeel te werken. Door nooit meer te willen weten dan nodig is om je werk te kunnen doen. Wat soms betekent dat medewerkers van Fox-IT geblinddoekt naar een werkplek worden geleid als de opdrachtgever prijs stelt op geheimhouding van die locatie.
Hun succes stoelt ook op selectiviteit bij het aannemen van opdrachten. Het bieden van deeloplossingen kan lucratief zijn, zegt Van der Marel, maar daarmee bouw je op de lange duur geen ijzeren reputatie op. ,,We leggen de lat hoog. Een gecompliceerde firewall van 500.000 euro in een computernetwerk installeren, wat heeft dat voor zin als je bij dat bedrijf zo langs de portier kunt lopen en documenten uit een printer kunt pakken? Wij nemen alleen opdrachten aan waarbij de gehele beveiliging mogen doen. Alleen dan zijn we zeker dat het voor de lange termijn goed komt.''
Bij Fox-IT werken vooral jonge wiskundigen, natuurkundigen en informatici. Nerds met een passie voor recherchewerk, zegt Prins. Op de afdeling Forensics en Audits, een van de vijf business-units van het bedrijf, krijgen medewerkers bij zogeheten penetratietesten de kans om te laten zien dat het zoeken naar zwakke punten hun tweede natuur is. Op eigen houtje mogen ze dan proberen een netwerk te hacken, om zo de beveiliging te testen. In september werkte Fox-IT samen met twee andere computerbeveiligingsbedrijven mee aan een test bij twee grote ziekenhuizen. Binnen een paar dagen slaagden de beveiligingsexperts erin om de elektronische dossiers van 1,2 miljoen patiënten te openen. Hoe de patiënten heten, de nummers van hun polissen, aan welke ziekten ze leden en hoe hun medische voorgeschiedenis is - zonder problemen konden de 'hackers' de gegevens kopiëren en veranderen.
Op verzoek van het actualiteitenprogramma Nova demonstreerde Fox-IT vorige week hoe onveilig draadloze netwerken zijn. Met een mobiele zender richtte de medewerker van Fox-IT bij wegrestaurants een eigen internetpunt op, dat zo sterk was dat signalen van andere draadloze internetaanbieders werden overgenomen. Moeiteloos konden zo wachtwoorden en andere vertrouwelijke informatie worden onderschept van vertegenwoordigers die bij een broodje kaas aan het werk waren op hun laptop. Criminele organisaties zouden veelvuldig van deze methode gebruikmaken.
Hoe uitdagend penetratietesten ook zijn, Prins en Van der Marel geven er de voorkeur aan om in overleg met de bouwers van een systeem te zoeken naar de zwakke plekken. Want wat zegt een mislukte penetratietest? Misschien zou een andere hacker wél naar binnen komen.
Van zo'n twintig grote bedrijven bewaakt Fox-IT permanent het computernetwerk. In samenwerking met de TU Delft ontwikkelde het bedrijf daarvoor een zelflerend inbraakdetectiesysteem. Op cruciale plekken binnen een netwerk worden sensoren geplaatst die afwijkende gedragingen signaleren. In de centrale meldkamer bij Fox-IT verschijnen deze verdachte gedragingen in rode letters op de schermen. Dat kan om hackpogingen gaan, maar ook om een onbekend apparaat waarmee een grote hoeveelheid informatie wordt gekopieerd. Misschien is daar een goede verklaring voor. Het kan echter ook zijn dat een medewerker zich schuldigt maakt aan bedrijfsspionage. Per telefoon of sms-bericht waarschuwt de meldkamer het betrokken bedrijf. Fox-IT kan niet zelf ingrijpen.
Computercriminaliteit is een groeiend probleem, zeggen Prins en Van der Marel, verwijzend naar de drie Nederlandse hackers die vorige maand door de Nationale Recherche zijn aangehouden. In opdracht van de Russische internet-maffia zouden zij 1,5 miljoen pc's hebben gekraakt. Door te dreigen met 'dDos-aanvallen', een informatiebombardement op websites, probeerden de criminelen banken en betaalinstellingen op te lichten.
De problemen komen zeker niet alleen van buiten, zegt Van der Marel. Ook werknemers kunnen veel schade berokkenen. Vaak hebben bedrijven geen controle over hun netwerk. Toezicht is geen overdreven luxe, zegt Van der Marel, want in elk bedrijf met 100 werknemers zijn er personeelsleden die urenlang naar porno kijken, die een illegale handel in zelfgebrande dvd's drijven, die collega's digitaal stalken, die rotzooien met declaraties of die gevoelige informatie aan concurrenten doorsturen.
En vergis je niet, zegt Prins, ook aan de top wordt gerotzooid. Bij twee grote fraudezaken van recente datum stelden rechercheurs van Fox-IT de omvang van de schade vast. Bij een auto-importeur zat een gokverslaafde boekhouder die jarenlang 150.000 euro per week verduisterde en pas tegen de lamp liep toen er 13 miljoen zoek was. Bij een grote Nederlandse verzekeraar sluisde een directeur met valse nota's in dertien jaar tijd in totaal 18 miljoen euro weg. Prins: ,,Iedere keer sta ik weer paf hoe zulke zaken toch mogelijk zijn.''
Een bedrijf dat staatsgeheimen en zaken van leven en dood moet beschermen, hoe groot kan dat worden? Daarover discussiëren zij soms intern, zeggen Van der Marel en Prins. ,,We moeten binnen onze niche blijven. Doorgroeien naar vijfhonderd man is uitgesloten.'' In een overname van hun bedrijf zijn ze niet geïnteresseerd, zegt het duo. Fox-IT moet eerst minder afhankelijk van hen worden. Misschien dat ze later business-units kunnen opsplitsen in afzonderlijke bedrijven.
Het beste wat hen nu kan overkomen? Als ook België zou besluiten de ambassades met hun nieuwe crypto-chip uit te rusten. Of nog mooier: als de NAVO voor elke communicatieplek hun geheimschriftchip zou bestellen. De uitdaging voor de komende jaren is Fox-IT niet alleen een dienstverlener te laten zijn, maar ook een bouwer van producten. In de woorden van Ronald Prins: ,,We moeten de slag maken van uurtjes naar spulletjes.''