Interview met Kaspersky: “Wat dacht je van een tweede internet?”
Eugene Kaspersky staat aan het hoofd van een multinational met enkele duizenden medewerkers, maar in en rond het bedrijf wordt deze gerespecteerde zakenman steevast aangesproken met zijn voornaam. Hij maakt het er ook naar: ‘Eugene’ is één van de meest toegankelijke CEO’s uit de sector, de man die andere mannen meetroont naar de beste sigaren en de beste vrouwen op de dansvloer. Als het op beveiliging en alle digitale gevaren aankomt, wordt hij echter bloedserieus: “Ja, paranoïde zijn hoort bij deze job, maar ik denk dat ik dat van nature ook al wel ben.”
Misschien verklaart dat ook waarom hij nog steeds niet naar de beurs is gestapt: zijn drang om alles onder controle te houden. Tegelijk oogt hij steeds bijzonder ontspannen. “Er zijn zakenreizen waarop ik zelfs geen kostuum meeneem”, beweert hij zelf, “alleen voor presidenten en premiers draag ik altijd een pak.” Een gesprek met een complexe en boeiende zakenman.
Hoe kijkt u naar cyberoorlog en -terrorisme?
Kaspersky: “Eerst even het verschil uitleggen tussen cyberoorlog en cyberterrorisme: voor degene die aanvalt, is het cyberoorlog, voor degene die het slachtoffer is, is het cyberterrorisme. Tot daar is het eenvoudig.
Mijn droom is dat het internet een zone wordt waar geen militaire bedreigingen te vinden zijn. Alleen ziet mijn paranoïde geest, na twintig jaar in deze sector, overal cyberdreigingen. Jammer genoeg was het tot nu toe altijd het worst case scenario dat uiteindelijk realiteit werd.
De huidige generatie oplossingen voor internetbeveiliging volstaan helaas niet om cyberterrorisme en -oorlog uit de wereld te helpen. Als je ziet dat men miljoenen dollars besteedt aan het ontwikkelen van Stuxnet (een gecompliceerd stuk malware dat wellicht de uraniumverrijkingscentrale in Iran als voornaamste doelwit had, nvdr), dan besef je dat de conventionele malwarebestrijding ook een versnelling hoger zal moeten schakelen. Met de nu beschikbare middelen en aanpak zal dat niet lukken. En tot we afdoende maatregelen hebben genomen om cyberterrorisme en ‘gewone’ cybercriminelen het leven onmogelijk te maken, zal ik niet veel onbezorgde nachten meer kennen, vrees ik. Alle landen zijn wel bezig met de voorbereidingen voor een cyberoorlog, maar ze focussen alleen op de aanval en verwaarlozen de verdediging voorlopig volledig.
En dan heb ik het nog niet gehad over het gevaar van sociale netwerken. Dit is een ongelooflijk machtig wapen geworden, waarmee de meningen van mensen kan veranderd worden. Het is dan ook niet moeilijk om mensen te manipuleren, zodat ze in opstand komen tegen hun regering. De meeste overheden beseffen dit gevaar niet, en ik hoop dat ik me vergis, maar sociaal cyberterrorisme is dichterbij dan we denken.
Of denk aan die hacktivisten zoals Anonymous. Eigenlijk zijn ze niet meer dan de digitale variant van hooligans in de straten: beiden brengen de economie veel schade toe. Dat is op zich al vervelend, maar wat als die krachten worden ingezet door cyberterroristen? Hoe groot is de schade dan?"
[related_article id=”161920″]
Wat moet er dan meer gebeuren dan wat nu al wordt ondernomen?
Kaspersky: “Er moet actie ondernomen worden op een aantal niveaus. Ten eerste moeten de verschillende overheden en politiemachten veel meer samenwerken dan nu het geval is. Het oprichten van een internet-divisie van Interpol in Singapore is in dat opzicht al een hele opluchting, maar er is nog veel werk aan de winkel. Daarnaast zijn er ook op technologisch vlak een aantal ingrepen mogelijk. Een digitaal paspoort, bijvoorbeeld, waarmee jij je voor een banktransactie kan identificeren maar waarmee ook de bank als antwoord kan bewijzen dat ze wel degelijk de bank is, en niet een of andere door fraudeurs opgezette site. Alleen zijn de meeste banken nog steeds lui en nemen ze genoegen met een gewoon userid en wachtwoord voor banktransacties.
Die paspoorten zullen op termijn ook voor alles gebruikt moeten worden. Voor e-commerce en e-business, voor elektronisch stemmen. Mijn stelling is: als we geen werk maken van internetpaspoorten, dan zal onze volgende generatie geen democratie meer kennen, want dan wordt veilig en georganiseerd stemmen onmogelijk. Fysiek naar een stemlokaal gaan is tegen die tijd allang geen optie meer.
Maar ook op een ander technologisch niveau zie ik mogelijkheden. Wat dacht je bijvoorbeeld van een tweede internet? Een afgeschermd stuk internet waarin je alleen toegang krijgt met een grondige en beveiligde identificatieprocedure. Hiermee weet iedereen binnen dit internet wie je bent, maar het stelt je wel in staat zaken te doen op een beveiligde manier. De rest van het internet, het gewone browsen en sociale interactie, kan je laten zoals het is, want niemand heeft graag het gevoel dat er continu over hun schouder mee wordt gekeken. Laat één ding wel duidelijk zijn: Google is watching you, not Big Brother or the security services."
Wordt het niet vreselijk duur om zo’n tweede internet te bouwen?
"Je hoeft daarvoor het wiel niet opnieuw uit te vinden! Je kan gewoon voortbouwen op de kennis en technologie van organisaties die al iets dergelijks hebben gebouwd. Denk maar aan het SWIFT-netwerk: ook dat is afgescheiden van het publieke internet en extra beveiligd voor je er binnen mag.
Het is echt wel de moeite waard om alles opnieuw te overdenken. Denk maar aan Stuxnet. Zulke malware kan in elke complexe industriële omgeving worden herhaald. Alles wat op het internet is aangesloten, al was het maar voor het downloaden van upgrades voor de software in het systeem, loopt gevaar. Liften zijn relatief veilig: daar is weinig behoefte aan upgradesoftware en dus is er geen reden om ze aan te sluiten op het internet. Alleen houdt het daar op. Bij de rest is het gevaar erg reëel. Stuxnet was zeer gesofisticeerd en goed ontworpen malware die enkel zijn doelwit heeft proberen uit te schakelen. Maar evengoed kan er minder professioneel geschreven malware op de wereld worden losgelaten dat eigenlijk de energiecentrales in één land als doelwit heeft maar zo slordig is ontworpen dat het ook de energiecentrales van andere landen besmet. Dan zou de catastrofe gigantisch kunnen worden."
Hoe komt het dat u één van de weinige Russische IT-ondernemers bent die internationaal doorbreekt?
Kaspersky: "Dat heeft te maken met de Russische mentaliteit. Russische ICT-bedrijven hebben een ijzeren draad in hun hoofd: ze zijn echt bang om zich buiten de landsgrenzen te wagen. Het buitenland is geweldig voor vakanties, maar om zaken te doen? Ho maar! Ik ben daar dus anders in, maar ik ben dan ook een beetje gek (lacht)."
Heeft het niets te maken met het feit dat Russische bedrijven argwanend worden bekeken als het op beveiliging aankomt?
Kaspersky: "Die vraag kreeg ik al op mijn eerste perstournee, in 1999 in Cambridge. ‘Een Russisch beveiligingsbedrijf, dat kan toch niet?’ De securitywereld is een wereld waar vertrouwen cruciaal is. Maal jij erom dat Lenovo Chinees is? Waarschijnlijk niet, zolang de notebook maar blijft draaien. In de securitywereld is dat anders: wij hebben als Russisch bedrijf eerst moeten bewijzen dat we het vertrouwen van de klant waard zijn.
Op technologisch vlak was er geen probleem: de Russische software-ingenieurs zijn zo goed als de Duitse autobouwers. Helaas zijn de Russische autobouwers ook zo goed als de Duitse software-ingenieurs, maar dit geheel terzijde (lacht). Schrijf er maar bij: behalve SAP. Elk land heeft zo zijn specialiteit. Naar verluidt zijn er zelfs landen die gespecialiseerd zijn in chocolade en bier.
(Terug ernstig) Wat je niet mag vergeten is dat wij niets met de Russische overheid te maken hebben. Onze activiteiten als beveiligingsbedrijf staan totaal los van de Russische politiek. Toen Rusland in staat van oorlog was met Georgië, ging onze omzet in Georgië zelfs omhoog. Waarschijnlijk omdat ze behoefte hadden aan de best mogelijke beveiliging (lacht). Maar ik denk dat de meeste bedrijven het wel begrepen hebben: zij zien ons nu als een internationaal bedrijf, eerder dan een Russische onderneming.”
Wanneer zult u 2012 als geslaagd beschouwen?
Kaspersky: "(Denkt diep na) Als er geen cyberoorlog meer wordt gevoerd, als we een aantal onderzoeken naar cybermisdaad met succes kunnen afronden en als we het jaar kunnen afsluiten met een groei met dubbele cijfers misschien? 2011 was geen fantastisch jaar. Een combinatie van interne en externe factoren heeft ons serieus parten gespeeld. We verloren bijvoorbeeld onze Duitse countrymanager en dat hebben we gevoeld, zowel op zakelijk als op puur menselijk vlak. Een moeilijk jaar dus, maar toch eentje dat we hebben kunnen afsluiten op een positieve noot: we hebben onze corporate endpoint solution op de markt gebracht.
Schrijf dat maar op als definitief antwoord: 2012 zal geslaagd zijn als de buitenwereld onze merknaam niet alleen meer met consumentenproducten maar ook met de zakelijke markt associeert!"
Eugene Kaspersky staat aan het hoofd van een multinational met enkele duizenden medewerkers, maar in en rond het bedrijf wordt deze gerespecteerde zakenman steevast aangesproken met zijn voornaam. Hij maakt het er ook naar: ‘Eugene’ is één van de meest toegankelijke CEO’s uit de sector, de man die andere mannen meetroont naar de beste sigaren en de beste vrouwen op de dansvloer. Als het op beveiliging en alle digitale gevaren aankomt, wordt hij echter bloedserieus: “Ja, paranoïde zijn hoort bij deze job, maar ik denk dat ik dat van nature ook al wel ben.”
Misschien verklaart dat ook waarom hij nog steeds niet naar de beurs is gestapt: zijn drang om alles onder controle te houden. Tegelijk oogt hij steeds bijzonder ontspannen. “Er zijn zakenreizen waarop ik zelfs geen kostuum meeneem”, beweert hij zelf, “alleen voor presidenten en premiers draag ik altijd een pak.” Een gesprek met een complexe en boeiende zakenman.
Hoe kijkt u naar cyberoorlog en -terrorisme?
Kaspersky: “Eerst even het verschil uitleggen tussen cyberoorlog en cyberterrorisme: voor degene die aanvalt, is het cyberoorlog, voor degene die het slachtoffer is, is het cyberterrorisme. Tot daar is het eenvoudig.
Mijn droom is dat het internet een zone wordt waar geen militaire bedreigingen te vinden zijn. Alleen ziet mijn paranoïde geest, na twintig jaar in deze sector, overal cyberdreigingen. Jammer genoeg was het tot nu toe altijd het worst case scenario dat uiteindelijk realiteit werd.
De huidige generatie oplossingen voor internetbeveiliging volstaan helaas niet om cyberterrorisme en -oorlog uit de wereld te helpen. Als je ziet dat men miljoenen dollars besteedt aan het ontwikkelen van Stuxnet (een gecompliceerd stuk malware dat wellicht de uraniumverrijkingscentrale in Iran als voornaamste doelwit had, nvdr), dan besef je dat de conventionele malwarebestrijding ook een versnelling hoger zal moeten schakelen. Met de nu beschikbare middelen en aanpak zal dat niet lukken. En tot we afdoende maatregelen hebben genomen om cyberterrorisme en ‘gewone’ cybercriminelen het leven onmogelijk te maken, zal ik niet veel onbezorgde nachten meer kennen, vrees ik. Alle landen zijn wel bezig met de voorbereidingen voor een cyberoorlog, maar ze focussen alleen op de aanval en verwaarlozen de verdediging voorlopig volledig.
En dan heb ik het nog niet gehad over het gevaar van sociale netwerken. Dit is een ongelooflijk machtig wapen geworden, waarmee de meningen van mensen kan veranderd worden. Het is dan ook niet moeilijk om mensen te manipuleren, zodat ze in opstand komen tegen hun regering. De meeste overheden beseffen dit gevaar niet, en ik hoop dat ik me vergis, maar sociaal cyberterrorisme is dichterbij dan we denken.
Of denk aan die hacktivisten zoals Anonymous. Eigenlijk zijn ze niet meer dan de digitale variant van hooligans in de straten: beiden brengen de economie veel schade toe. Dat is op zich al vervelend, maar wat als die krachten worden ingezet door cyberterroristen? Hoe groot is de schade dan?"
[related_article id=”161920″]
Wat moet er dan meer gebeuren dan wat nu al wordt ondernomen?
Kaspersky: “Er moet actie ondernomen worden op een aantal niveaus. Ten eerste moeten de verschillende overheden en politiemachten veel meer samenwerken dan nu het geval is. Het oprichten van een internet-divisie van Interpol in Singapore is in dat opzicht al een hele opluchting, maar er is nog veel werk aan de winkel. Daarnaast zijn er ook op technologisch vlak een aantal ingrepen mogelijk. Een digitaal paspoort, bijvoorbeeld, waarmee jij je voor een banktransactie kan identificeren maar waarmee ook de bank als antwoord kan bewijzen dat ze wel degelijk de bank is, en niet een of andere door fraudeurs opgezette site. Alleen zijn de meeste banken nog steeds lui en nemen ze genoegen met een gewoon userid en wachtwoord voor banktransacties.
Die paspoorten zullen op termijn ook voor alles gebruikt moeten worden. Voor e-commerce en e-business, voor elektronisch stemmen. Mijn stelling is: als we geen werk maken van internetpaspoorten, dan zal onze volgende generatie geen democratie meer kennen, want dan wordt veilig en georganiseerd stemmen onmogelijk. Fysiek naar een stemlokaal gaan is tegen die tijd allang geen optie meer.
Maar ook op een ander technologisch niveau zie ik mogelijkheden. Wat dacht je bijvoorbeeld van een tweede internet? Een afgeschermd stuk internet waarin je alleen toegang krijgt met een grondige en beveiligde identificatieprocedure. Hiermee weet iedereen binnen dit internet wie je bent, maar het stelt je wel in staat zaken te doen op een beveiligde manier. De rest van het internet, het gewone browsen en sociale interactie, kan je laten zoals het is, want niemand heeft graag het gevoel dat er continu over hun schouder mee wordt gekeken. Laat één ding wel duidelijk zijn: Google is watching you, not Big Brother or the security services."
Wordt het niet vreselijk duur om zo’n tweede internet te bouwen?
"Je hoeft daarvoor het wiel niet opnieuw uit te vinden! Je kan gewoon voortbouwen op de kennis en technologie van organisaties die al iets dergelijks hebben gebouwd. Denk maar aan het SWIFT-netwerk: ook dat is afgescheiden van het publieke internet en extra beveiligd voor je er binnen mag.
Het is echt wel de moeite waard om alles opnieuw te overdenken. Denk maar aan Stuxnet. Zulke malware kan in elke complexe industriële omgeving worden herhaald. Alles wat op het internet is aangesloten, al was het maar voor het downloaden van upgrades voor de software in het systeem, loopt gevaar. Liften zijn relatief veilig: daar is weinig behoefte aan upgradesoftware en dus is er geen reden om ze aan te sluiten op het internet. Alleen houdt het daar op. Bij de rest is het gevaar erg reëel. Stuxnet was zeer gesofisticeerd en goed ontworpen malware die enkel zijn doelwit heeft proberen uit te schakelen. Maar evengoed kan er minder professioneel geschreven malware op de wereld worden losgelaten dat eigenlijk de energiecentrales in één land als doelwit heeft maar zo slordig is ontworpen dat het ook de energiecentrales van andere landen besmet. Dan zou de catastrofe gigantisch kunnen worden."
Hoe komt het dat u één van de weinige Russische IT-ondernemers bent die internationaal doorbreekt?
Kaspersky: "Dat heeft te maken met de Russische mentaliteit. Russische ICT-bedrijven hebben een ijzeren draad in hun hoofd: ze zijn echt bang om zich buiten de landsgrenzen te wagen. Het buitenland is geweldig voor vakanties, maar om zaken te doen? Ho maar! Ik ben daar dus anders in, maar ik ben dan ook een beetje gek (lacht)."
Heeft het niets te maken met het feit dat Russische bedrijven argwanend worden bekeken als het op beveiliging aankomt?
Kaspersky: "Die vraag kreeg ik al op mijn eerste perstournee, in 1999 in Cambridge. ‘Een Russisch beveiligingsbedrijf, dat kan toch niet?’ De securitywereld is een wereld waar vertrouwen cruciaal is. Maal jij erom dat Lenovo Chinees is? Waarschijnlijk niet, zolang de notebook maar blijft draaien. In de securitywereld is dat anders: wij hebben als Russisch bedrijf eerst moeten bewijzen dat we het vertrouwen van de klant waard zijn.
Op technologisch vlak was er geen probleem: de Russische software-ingenieurs zijn zo goed als de Duitse autobouwers. Helaas zijn de Russische autobouwers ook zo goed als de Duitse software-ingenieurs, maar dit geheel terzijde (lacht). Schrijf er maar bij: behalve SAP. Elk land heeft zo zijn specialiteit. Naar verluidt zijn er zelfs landen die gespecialiseerd zijn in chocolade en bier.
(Terug ernstig) Wat je niet mag vergeten is dat wij niets met de Russische overheid te maken hebben. Onze activiteiten als beveiligingsbedrijf staan totaal los van de Russische politiek. Toen Rusland in staat van oorlog was met Georgië, ging onze omzet in Georgië zelfs omhoog. Waarschijnlijk omdat ze behoefte hadden aan de best mogelijke beveiliging (lacht). Maar ik denk dat de meeste bedrijven het wel begrepen hebben: zij zien ons nu als een internationaal bedrijf, eerder dan een Russische onderneming.”
Wanneer zult u 2012 als geslaagd beschouwen?
Kaspersky: "(Denkt diep na) Als er geen cyberoorlog meer wordt gevoerd, als we een aantal onderzoeken naar cybermisdaad met succes kunnen afronden en als we het jaar kunnen afsluiten met een groei met dubbele cijfers misschien? 2011 was geen fantastisch jaar. Een combinatie van interne en externe factoren heeft ons serieus parten gespeeld. We verloren bijvoorbeeld onze Duitse countrymanager en dat hebben we gevoeld, zowel op zakelijk als op puur menselijk vlak. Een moeilijk jaar dus, maar toch eentje dat we hebben kunnen afsluiten op een positieve noot: we hebben onze corporate endpoint solution op de markt gebracht.
Schrijf dat maar op als definitief antwoord: 2012 zal geslaagd zijn als de buitenwereld onze merknaam niet alleen meer met consumentenproducten maar ook met de zakelijke markt associeert!"