vrijdag - 19 april 2002
Beveiliging door de eeuwen heen

Toen alles nog heel gewoon was


Informatie is al zo oud als de mensheid zelf. Er is de laatste 100.000 jaar echter veel veranderd. Van Cro-magnon naar Caesar. Van Caesar tot Bill Gates. Het lijkt een onoverbrugbare kloof. Echter als het gaat om de beveiliging van informatie kan een brug worden geslagen. Het historisch belang van informatie onderstreept namelijk het belang van informatiebeveiliging. Leon Kuunders neemt u mee in een inspirerend verhaal.

A modern maxim says: “People tend to overestimate what can be done in one year
 and to underestimate what can be done in five or ten years.” – Joseph Licklider
“To predict is difficult, especially the future” – Niels Bohr

Inleiding

Kennis en informatie zijn de hoekstenen waarop het menselijk leven is gebouwd. Kennis is dat wat men door oefening of studie geleerd heeft, terwijl informatie door Van Dale wordt omschreven als het zich verschaffen van kennis of inzicht en alles wat als bericht, als overdracht van kennis iets of iemand bereikt. In onze huidige maatschappij is vooral de laatste omschrijving van informatie een dagelijkse bezigheid. We zijn allemaal bezig met informatieverwerking, al dan niet met behulp van een computer.


Vanuit een historisch perspectief bezien is de hoeveelheid en het belang van informatie gedurende de laatste 100 millenia sterk toegenomen. De exponentiële groei vertaald zich niet alleen in kwantitatieve en kwalitatieve zin, maar ook in toepasbaarheid. De toekomst brengt ons misschien wel niet meer kennis, maar in ieder geval wel meer informatie.

Ik probeer de vraag te beantwoorden waarom het onvermijdelijk is dat we onze informatie beter moeten gaan beveiligen. Ik behandel een aantal facetten van de ontwikkeling van de mens en licht de rol die kennis, en vooral de omgang daarmee, daarin gespeeld heeft toe. Ik werp een blik in de toekomst en zie dat informatiebeveiliging een logisch gevolg is van de grotere afhankelijkheid die we van kennis hebben gekregen.

De bescherming van informatie; garanderen dat de beschikbaarheid, integriteit en vertrouwelijkheid ervan niet in gevaar komt, wordt nog belangrijker dan we nu kunnen inschatten. Als informatie een onmisbaar element wordt voor ons dagelijks functioneren, dan blijkt dat de kwaliteit van het leven er door beďnvloedt wordt. Het beveiligen van informatie is dan geen keuze meer maar een must.

Informatie verwerking, transport en opslag

Gordon Moore, een van de oprichters van Intel, heeft in 1965 voorspelt dat het aantal transistoren dat op een microprocessor kan worden geplaatst elke 18 maanden verdubbelt. Deze wet noemt men ook wel Moore’s Law. Hij wordt toegepast op een breed scala van informatietechnologie gerelateerde technieken zoals de snelheid van CPU’s. Twee voorbeelden op dit vlak zijn a) de hoeveelheid RAM die over 18 maanden beschikbaar is, is gelijk aan de totale hoeveelheid RAM die er in de historie van de mensheid beschikbaar was en b) software die elke 18 maanden tweemaal beter en sneller wordt. Figuur 1 illustreert dit op schematische wijze.

Fig. 1 – Moore’s Law - grafiek die de exponentiële groei laat zien, de oppervlakte van het gedeelte rechts van de streep is even groot als de oppervlakte van het gedeelte links

Algemeen wordt aangenomen dat de komende decennia deze verdubbeling nog wel voortzet, alhoewel deze exponentiële groei niet eeuwig door kan gaan (zie illustratie 2).

Fig. 2 – grafiek die een S-curve laat zien: de grenzen van Moore’s Law worden bereikt, de exponentiële groei wordt afgeremd

Nemen we het kostenaspect in ogenschouw, dan zien we dat de hoeveelheid instructies per seconde die men voor 1 euro kan uitvoeren op dit moment elk jaar verdubbelt. De kosten die men moet betalen om een bepaalde berekening uit te voeren worden dus elk jaar gehalveerd vanwege de lagere kosten van onder andere (nieuwe) CPU’s.

Een voorbeeld:

Stel men moet een computerbewerking uitvoeren, en deze bewerking duurt 10 jaar op de snelste supercomputer die men nu voor handen heeft. Wat is dan de beste strategie om deze bewerking tegen minimale kosten uit te laten voeren?

Het antwoord daarop is: wachten *). Wacht 9 ˝ jaar en koop met het gereserveerde budget de allerbeste supercomputer die dan te verkrijgen is. De bewerking is dan in veel kortere tijd uit te voeren, zodat het beoogde resultaat dat met de huidige supercomputer in 10 jaar behaalt wordt, dan in luttele weken is te realiseren.

*) ultimo is het belang dat gehecht wordt aan het te verkrijgen antwoord de sturende factor

Groei dataverkeer

De hoeveelheid data die over het internet wordt gestuurd verdubbelt op dit moment elk jaar. Het programma Napster dat in de loop van 1999 een immense populariteit bereikte, had (voornamelijk voor universiteiten) een aanzienlijke invloed op de voor hen beschikbare bandbreedte. In het jaar 2000 was de door dit programma gegenereerde hoeveelheid dataverkeer op sommige plaatsen opgelopen van 20% naar piekmomenten van wel 50% van de totale hoeveelheid die werd gebruikt. Voor het gehele internetverkeer kwam in 2000 de hoeveelheid data door Napster uit op 6% van het totaal. Het schokkende aan dit resultaat was niet zozeer de hoeveelheid dataverkeer, als wel dat dit door één enkele applicatie werd veroorzaakt. Figuur 3 illustreert deze toename van data voor de universiteit van Wisconsin.

Fig. 3 – Verkeer gegenereerd door Napster op de Universiteit van Wisconsin

Gilder’s Law (George Gilder, schrijver van onder andere Telecosm, een boek dat handelt over de toekomst van de telecommunicatie) voorspelt dat de hoeveelheid bandbreedte elke 8 maanden zal verdubbelen en dat dit proces de komende 25 jaar zal doorgaan. De hoeveelheid bandbreedte die over een jaar beschikbaar is, is gelijk aan de totale hoeveelheid bandbreedte die in de geschiedenis beschikbaar is geweest. Als voorbeeld kan men zich de glasvezelkabels voorstellen die door de diverse telecommunicatie maatschappijen worden aangelegd. Op dit moment is men in de praktijk in staat om 10 Gbps door een enkele glasvezel te sturen. De theoretische snelheid die men kan behalen is 25 Tbps, terwijl in laboratoria nu al doorvoersnelheden van 3 Tbps zijn behaald. Ter verduidelijking: als alle mensen op deze wereld telefoon zouden hebben en de helft van deze mensen zou besluiten de andere helft op te bellen, dan kan de hoeveelheid data die daarmee wordt gegenereerd (3 miljard telefoongesprekken) door één enkele glasvezel worden verstuurd. Glasvezelkabels bestaan uit bundels van 32 glasvezels. Figuur 4 biedt inzicht in de toename van verwerkingsnelheid in relatie tot de bandbreedte.

De opslagcapaciteit die we kunnen gebruiken verdubbelt net zo snel. Ik herinner me nog de tijd dat ik mijn eerste 80486 computer kocht. Naast het feit dat ik zo verheugd was over de snelheid ervan dat ik de harddisk de naam “Vlug_he_moi” meegaf, was de hoeveelheid data die ik kon opslaan op die harddisk ongekend. Maar liefst 40 Mb werd er geboden. Als voorloper betaalde ik natuurlijk een niet misselijke prijs. Afgelopen jaar hebben we de eerste IDE harddisks gezien die meer dan 100 Gb aan data op kunnen slaan. Op één harde schijf. De prijs is ongeveer even veel als de prijs die ik toen betaalde voor mijn 40 Mb. Als ik toen 100 Gb opslagcapaciteit had willen kopen had ik 2560 maal de prijs moeten betalen van 420 Euro die er nu voor staat. Die 2,5 miljoen gulden is nu nog 900 gulden waard.

Fig. 4 – Grafische weergave van de toename van verwerkingssnelheid en bandbreedte (The Net Effect, Sun)

De revolutie die zich voltrekt rondom de verwerking, het transport en de opslag van informatie is ongekend in de historie van de mensheid.

Het belang van informatie en haar overdraagbaarheid

In den beginne was de mens een dier dat als primaire dagtaak het jagen op voedsel had. De uitvinding van de knots heeft waarschijnlijk een enorme stap voorwaarts betekend voor onze voorouders. De overdraagbaarheid van kennis was in die periode gelimiteerd tot na-apen; er bestond geen schrift of taal waarin deze informatie vastgelegd kon worden. De ontwikkeling van sociale omgangsvormen, het leven in groepsverband, was een voorwaarde voor het succesvol kunnen overdragen. Kennis werd informatie. En informatie gaf de mens een voorsprong op zijn vijanden en soortgenoten.

De oudste grotschilderingen, zoals op diverse plaatsen in de wereld gevonden, bestaan al meer dan 25.000 jaar. Deze schilderingen laten voornamelijk jachttaferelen zien, afbeeldingen van dieren en mensen (figuur 5). Het leven (en voornamelijk de expressies van het leven) van alledag. Een groot nadeel van deze schilderingen was dat ze niet effectief gebruikt konden worden voor het overdragen van informatie. Ze waren namelijk niet verplaatsbaar.

Fig. 5 – Grottekening

Alfabet

In Egypte werden ruim 5.000 jaar geleden woorden en zinnen gevormd door afbeeldingen en tekeningen te maken. Op fonetische en grafische wijze werden de oude afbeeldingen vertaald. Deze hiërogliefen verwoordde de macht van de heerser, de aardse goden, en zorgden op een effectieve wijze voor het vasthouden van de macht door deze kleine groep mensen. De mogelijkheid om op papyrus deze afbeeldingen te tekenen en ze vervolgens over grote afstanden te verplaatsen zorgden voor een zwaarwegender belang van het schrift. Deze opgeschreven kennis was in staat generaties te overleven. En informatie betekende macht. Voor de gewone mens (analfabeet) veranderde er echter niets, voor de machthebbers des te meer.

Het alfabet is (waarschijnlijk) uitgevonden door de Phoeneciërs rond 1200 voor christus en werd gebruikt door de Grieken 500 jaar voor het jaar 0. Het werd in die vorm overgenomen door de Romeinen en enigszins aangepast. Ten tijde van het Romeinse rijk werd het belang van het geschreven woord steeds groter. Voornamelijk omdat men het gebruikte om de strategische belangen van het keizerrijk veilig te stellen. Het Romeinse keizerrijk strekte zich uit van Schotland tot aan Turkije, een enorme afstand. Het aansturen van de troepen, het geven van opdrachten, was een belangrijke, maar risicovolle, aangelegenheid. Niet alleen waren de boodschappers niet altijd even betrouwbaar, ook kon een geschreven militaire opdracht eenvoudig in de handen van de vijand vallen. Er wordt gezegd dat Julius Caesar een van de eerste was die cryptografie gebruikte om berichten onleesbaar te maken. De letters uit een bericht werden vervangen door letters die 3 plaatsen verder naar rechts lagen in het alfabet. Figuur 6 laat deze Caesar Shift zien.

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
X Y Z A B C D E F G H I J K L M N O P Q R S T U V W

Fig. 6 –De Caesar Shift toegepast op ons huidige alfabet. Dit is te vergelijken met het unix commando rot13 dat werd gebruikt voor het verbergen van onder andere seksueel getinte berichten in bijvoorbeeld e-mail.

Julius Caesar bracht zijn generaals op de hoogte van de gebruikte versleuteling. De authenticiteit van de gecodeerde berichten was gegarandeerd omdat hij persoonlijk op het identificatie proces toezag en niemand anders van de codes op de hoogte was. Praktisch was het echter niet. Doordat vertrouwen moeilijk overdraagbaar is kwam Caesar, en daarmee deze eerste toegepaste cryptografie, tot een jammerlijk (en bruut) einde.

In de eeuwen daarna werd, in de begindagen van het christendom, de doctrine door de apostelen opgeschreven om deze aan anderen te leren. De geschriften werden verstuurd naar de kerken en verder van de ene kerk naar de volgende. Voordat een boek kon worden samengesteld dat door God geďnspireerde teksten bevatte moest men wel zeker zijn dat een tekst in het boek thuis hoorde. Naast criteria als ‘is dit consistent met de rest van de bijbel’ en ‘bevat het een goddelijke boodschap’ moest de authenticiteit van een geschrift vast kunnen worden gesteld. Hiertoe werd een geautoriseerde lijst van geschriften opgesteld, genaamd de canon. Met deze lijst was het mogelijk nieuwe geschriften te identificeren en te toetsen.

De originele teksten van het oude en het nieuwe testament waren geschreven in het Hebreeuws, het Aramees en het Grieks. De vertaling in het Latijns, de belangrijkste taal die in het Romeinse rijk werd gesproken, werd gemaakt rond 400 na Christus. Het eens zo machtige rijk stortte echter nog voor het jaar 500 ineen, waardoor het Latijn als taal steeds meer in de vergetelheid raakte. Wederom was slechts een kleine groep ingewijden nog in staat de geschreven woorden te begrijpen. Het christendom was een bepalende factor in de historie van Europa in het daaropvolgende millennium. Informatie betekende macht.

Terwijl taal primair het ontstaan van cultuur tot stand bracht, gaf het geschreven woord voedingsbodem aan de totstandkoming van machtsverhoudingen. De vertaling van de bijbel in het Engels rond het jaar 1350 leidde tot een ternauwernood voorkomen opknoping van de vertaler. Het feit dat de normale mens de heilige geschriften kon gaan lezen en interpreteren deed afbreuk aan de machtspositie waarin de kerk zich bevond.

Naast het overkomen van het analfabetisme was de beperkte reproductie mogelijkheid van teksten een uitdaging die gaandeweg met de uitvinding van onder andere drukletters en de boekdrukkunst werd overwonnen. Kennis kwam voor een steeds groter deel van de mensheid ter beschikking. Een op technologie georiënteerde maatschappij ontwikkelde zich waarbij de mogelijkheden voor elk individu steeds groter werden. De oude machtsverhoudingen werden omver geworpen. De vooruitgang was niet meer te stoppen. Figuur 7 laat een schematische voorstelling van deze ontwikkeling zien.

Fig. 7 – Het belang van kennis afgezet tegen de tijd

In de 20ste eeuw werd door de uitvinding van praktisch toepasbare elektriciteit en het binaire stelsel de mogelijkheid geschapen informatie sneller dan ooit tevoren te verplaatsen. De beschikbaarheid van informatie, daarvoor nog beperkt door het aantal kopieën dat van een schrift beschikbaar was, werd enorm vergroot. Een elektronische kopie van een boek, een afstudeeropdracht, de bijbel en de koran teksten, maar ook een recept voor heerlijke bloemkool met kip Tandoori, de vakantiefoto’s en de instructies voor het verwisselen van de toner van de printer. Alles kwam in een oogwenk beschikbaar. Waar en wanneer we maar willen.

Informatie was vroeger een instrument dat voor het nemen van strategische beslissingen werd ingezet (en daarvoor onmisbaar was). Nu wordt het langzaamaan een grondstof voor het nemen van meer alledaagse beslissingen. De Cro-magnon mens kon 40.000 jaar geleden volstaan met een redelijk beperkte hoeveelheid kennis over zijn directe omgeving en een sociaal gevoel voor de groep waarin hij leefde. De homo-sapiens omringd zich met steeds meer informatie en manieren om informatie te vergaren. De meest eenvoudige beslissingen worden nu voorafgegaan door een oriëntatie van de mogelijkheden. Homo-sapiens wordt homo-triumphus.

Homo Triumphus

Mobiele communicatie, nu al niet meer weg te denken uit onze maatschappij, maakt dat onze sociale omgangsnormen drastisch zijn aangepast. Relaties die vroeger een lang leven beschoren waren worden door de alom vertegenwoordigde controle veranderd in relaties waarin achterdocht de boventoon voert. Relaties die vroeger absoluut onmogelijk waren zien een glorieus daglicht. Het gebruik van informatie in ons dagelijks leven, of dit nu gerelateerd is aan werk of aan onze sociale activiteiten, is dus sterk gegroeid.

De waarde van informatie laat zich uitdrukken in de tijd die nodig is informatie te verkrijgen en te verwerken. De tijd die nodig is om informatie te vergaren wordt dankzij de voortschrijdende technieken steeds korter. Een voorbeeld: als ik het antwoord op een vraag wil en ik ben in staat een aap te leren hoe deze in 10 minuten het antwoord op die vraag kan vinden via het internet, is dan de mens die na 20 minuten bedenktijd ditzelfde antwoord van buiten kan geven slimmer? Ik betwijfel het. Verbanden kunnen leggen, gegevens kunnen combineren en weten waar je informatie moet halen zijn vaardigheden die van wezenlijk belang voor ons zijn. En die we onze kinderen (bewust of onbewust) aanleren door ze te omringen met steeds meer informatiebronnen.

De waarde van informatie stijgt. Alleen de tijd dat informatie waardevol is wordt korter. Neem bijvoorbeeld bedrijfscijfers. Zagen deze vroeger jaarlijks het daglicht, tegenwoordig worden ze elk kwartaal gepubliceerd, voorafgegaan door de nodige mededelingen. De gevolgen van een dergelijke publicatie zijn echter sterker merkbaar dan voorheen. De waarde van de bedrijfscijfers is omhoog gegaan. Niet het resultaat dat door het bedrijf gehaald is.

Zoals in paragraaf 1 was te lezen zal de snelheid waarmee relevante informatie kan worden geďdentificeerd en op een betrouwbare wijze kan worden getransporteerd gedurende de komende jaren nog sterker groeien dan al het geval was. De hoeveelheid informatie waarmee we zullen worden geconfronteerd wordt dus groter. Was information-overload vroeger voorbehouden aan de machtigen, nu blijkt dat iedereen steeds meer informatie moet verwerken. Van wezenlijk belang daarbij is het vaststellen van de authenticiteit van informatie. Julius Caesar had in het jaar 75 voor Christus al het probleem dat het transport medium dat hij gebruikte om zijn bevelen rond te sturen niet te vertrouwen was. In de laatste 2000 jaar is dat probleem hoegenaamd dus niet veranderd.

Het is plausibel te veronderstellen dat het kunnen identificeren van betrouwbare informatiebronnen voor ieder van ons een wezenlijk onderdeel uit gaat maken van het dagelijks leven. En dat daarmee de elektronische identificatie van mensen en machines een feit is. De zegetocht van de mens bestaat uit het overzicht dat hij behoudt in zijn eigen leven en de beslissingen die hij daarop baseert.

Informatie beveiligen

De Distributed Denial of Service (DDOS) aanvallen die begin 2000 een aantal bekende websites volledig lam hebben gelegd, werden uitgevoerd door computers die geďnfecteerd waren door een zogenaamde Trojan. De schade voor de aangevallen bedrijven liep in de miljoenen. Door het ontbreken van jurisprudentie op het gebied van aansprakelijkheid was het onmogelijk deze schade te verhalen op de eigenaren van de geďnfecteerde computers. Alhoewel de aangevallen bedrijven hun computerbeveiliging zelf op orde hadden bleven ze dus toch met een kostenpost zitten.

Een studie, uitgevoerd door de Europese Commissie, laat zien dat de schade die kan ontstaan door het verlies van gegevens bij een infectie met een virus kan oplopen tot 2500 euro per PC. Een eindgebruiker zal dus sneller geneigd zijn virusprotectie software te installeren, aangezien hiermee een direct risico wordt verkleind. Het installeren van een personal firewall waarmee kan worden voorkomen dat de PC gebruikt wordt als instrument in een DDOS aanval is voor veel gebruikers echter een investering die niet zo snel wordt gemaakt. De kosten van deze beveiliging moeten door de gebruiker worden gemaakt terwijl het risico niet bij de gebruiker ligt.

Kosten-baten analyses worden door bedrijven dagelijks gemaakt. De financiële sector en de IT sector zijn daarin niet anders. Iedereen die het contract voor zijn online bankierdiensten heeft gelezen weet dat de gebruiker in principe verantwoordelijk is voor alles wat er met zijn gebruikersaccount wordt uitgevoerd. Maar als men navraag doet naar de genomen beveiligingsmaatregelen van de bank zelf, dan krijgt men nul op het rekest. Bedrijfsgeheim heet het dan. En de introductie van het laatste, beste en meest veilige besturingssysteem door een grote software leverancier werd zonder pardon binnen twee maanden gevolgd door een dringend advies van de Amerikaanse FBI om het niet te gebruiken. De risico’s van de gevonden problemen waren zo groot dat ze de aanvaardbaarheidsnorm hadden overschreden.

Er is een gouden regel die stelt dat maatregelen moeten worden uitgevoerd door hen die het risico dragen. Anders gezegd, degene die de nadelen ondervind van een niet beveiligd systeem, moet ook degene zijn die het systeem beveiligd. In een omgeving waar verantwoordelijkheid wordt afgeschoven leidt dit pertinent tot problemen. In het voorbeeld van de online diensten wil dit zeggen dat de eindgebruiker de nodige maatregelen moet treffen. Bij een voortschrijdende invloed van technologie op onze maatschappij zou dit betekenen dat we uiteindelijk iedereen moeten opleiden tot informaticaspecialist. Dat dit geen haalbare kaart is moge duidelijk zijn. Een overheid die voorschrijft wat wel of niet mag is dus noodzakelijk.

Eigenlijk hebben we tot nu toe geluk gehad. Het aantal ongelukken dat er is gebeurt doordat computersystemen niet of nauwelijks werkten is vrij beperkt gebleven. Het aantal doden dat er is gevallen ook. Het merendeel van de fraude zaken die zijn ontdekt, zijn veroorzaakt door bewust of onbewust menselijk falen. Beschikbaarheid, integriteit en vertrouwelijkheid zijn de toverwoorden waarmee we de beveiliging van informatie op een aanvaardbaar niveau moeten krijgen en vervolgens zien te houden.

Conclusies

Een grotere afhankelijkheid van computers en de mogelijkheid om informatie te verwerken is de technologische push. Het vergaren van kennis en het gebruiken van informatie is de menselijke drive. Is ons leven nu al omringd met allerlei electronische snufjes, over 5 jaar weten we niet meer beter. Al deze apparatus gebruiken informatie om hun werk uit te kunnen voeren. Als het goed is (alleen) ten dienste van hen die er op vertrouwen.

Voor het bedrijsleven wordt het beschermen van een van haar grootste bezittingen, de kennis die in het bedrijf aanwezig is, een wezenlijk onderdeel van de strategische, tactische en operationele bedrijfsvoering. Aansprakelijkheid zal in de komende jaren steeds belangrijker worden op het gebied van informatiebeveiliging. Misschien ontbreekt op bepaalde gebieden nog wel de nodige jurisprudentie. Dat deze er komt is echter zeker.

Informatieverwerking is een bezigheid die steeds meer facetten van ons leven gaat omvatten. Historisch bezien een logische conclusie. En als we de blik in de toekomst werpen dan zien we dat deze ontwikkeling verder door zal zetten. Reeds gestartte intiatieven rondom het digitale paspoort en de digitale handtekening, camera’s met automatische gelaatsherkenning en computers die zo klein worden dat ze overal in passen, zijn de voorlopers van een toekomst waarin iedereen en alles electronisch geďdentificeerd kan worden. Altijd en overal. Of je nu wilt of niet.

Een overheid die bepaalt wat de voorwaarden zijn om al deze technieken te mogen verkopen en in te mogen zetten is daarbij onontbeerlijk. Zodat de veiligheid van deze technieken beter gewaarborgd is, de privacy van het individu niet wordt geschaad en wordt voorkomen dat kennis en informatie bezitten (wederom) een voorrecht wordt voor een klein, geselecteerd gezelschap. Een overheid die waakt over het algemeen belang en van de individuele burger.

Rest ons één vraag: Quis custodiet ipsos custodes, oftewel, wie bewaakt de bewaker? En wat mij betreft niet de bewaker zelf.

Januari, 2002
Leon Kuunders

Referenties

In dit artikel worden talloze referenties gemaakt. Een kleine selectie:
- Jim Gray, onderzoeker bij Microsoft, heeft een aantal voorbeelden die in het stuk worden genoemd aangedragen in een lezing die ik van hem (online) heb mogen aanschouwen.

- Er wordt informatie gebruikt uit een onderzoek dat K.G. Hoffman en A.M. Odlyzko, AT&T Research, hebben uitgevoerd naar de toepasbaarheid van de wet van Moore op het internet.

- Sun Microsystems heeft diverse white papers uitgebracht met betrekking tot het Net Effect.

- Historische gegevens over de ontwikkeling van het schrift zijn onder andere te vinden bij het Institute of Paper Science and Technology.

- Ross Anderson schreef diverse white papers, onder andere over de economische motieven achter informatiebeveiliging.

- In een rapport uit 2001 vergelijkt de Amerikaanse Computer Science and Telecommunications Board het niveau van informatiebeveiliging nu en 10 jaar geleden.

Degenen die geďnteresseerd zijn kunnen bij mij een lijst verkrijgen van achtergrond informatie die als basis heeft gediend voor dit artikel.