Online-veiligheid onderdeel bedrijfsproces

22 juni 2000

In toenemende mate koppelt het midden- en kleinbdrijf zijn bedrijfsnetwerken aan het Internet. De beveiligingsproblematiek die daaruit ontstaat, is veelzijdig en complex. E-security definieert niet alleen de maatregelen die bedrijven moeten nemen tegen inbraak, hacking en virussen. De gevolgen zijn diefstal, de manipulatie van gegevens of een ’denial of service’. Ook de toegang vanuit het bedrijf zelf naar interne en externe documentatie moet grondig onder de veiligheidsloep worden gelegd.
Volgens Datamonitor maakten in 1999 slechts 12.000 Europese bedrijven gebruik van Internet-technologie voor een of andere vorm van elektronisch zakendoen. Dat aantal verandert drastisch. Datamonitor voorspelt dat het aantal Europese bedrijven dat zich aan e-commerce waagt dit jaar mag worden begroot op bijna 65.000. In 2002 gaat het volgens dezelfde marktonderzoeker alweer om een slordige 245.000 Europese bedrijven met een of andere vorm van E-handel. De vraag naar veiligheidsmaatregelen lijkt om die reden logisch.
De Amerikaanse federale politie FBI enquêteerde ruim 240 Amerikaanse bedrijven die in 49 procent van de gevallen toegaven ooit het slachtoffer te zijn geweest van niet-gewenst gebruik van het eigen netwerk. De meeste inbraaksporen leidden naar het Internet als de voornaamste bron van waaruit de netwerksloten werden geforceerd. De schade bedroeg in totaal bijna 140 miljoen dollar.
Volgens de FBI was er een duidelijk oorzakelijk verband met de e-commerce activiteiten van die bedrijven. Bedrijven die deelnamen aan de Internet-economie, bleken tweemaal zo veel schade te lijden als bedrijven die vooralsnog geen zakelijke activiteiten ontplooiden op het Internet. De directe schade van digitale diefstal mag tot op bepaalde hoogte berekenbaar zijn, niet berekenbaar is de schade in termen van negatieve publiciteit en reputatieverlies.
Volgens het eerder geciteerde Datamonitor zal de markt voor diensten en producten op het gebied van Internet-beveiliging om die reden sterk groeien van een omzet van ongeveer 8 miljard dollar dit jaar naar ongeveer 15,5 miljard dollar in 2003. Momenteel kent ons land vooralsnog geen wettelijk kader voor bijvoorbeeld de digitale handtekening (wetgeving daarvoor is in België al aangenomen). De verwachting is evenwel dat die wetgeving er dit jaar nog wel komt. Dan zou het online handelen in een acceleratieproces terecht kunnen komen, zowel bij bedrijven als bij gebruikers. Maar hoe veilig wordt er eigenlijk gewerkt?

Virusbeveiliging
Een korte rondvraag die we via een mailinglist op het Internet organiseerden, leert dat de meeste individuele gebruikers vrijwel nooit gebruikmaken van encryptietechnologie voor het beveiligen van e-mail-berichten. De namen op de mailinglist die we voor deze kleine enquête benaderden, bestonden in hoofdzaak uit zo’n 180 freelance journalisten, tekstschrijvers en fotografen die voor de organisatie van hun beroepsactiviteiten sterk afhankelijk zijn van het Internet en e-mailverkeer. De steekproef was te kleinschalig om representatief te kunnen worden genoemd.
Dirk Peeters, vice-president Enterprise Security van de Belgische beveiligingsspecialist Ubizen bevestigt desgevraagd wel de indruk te hebben dat het versleutelen van
e-mail vooralsnog zelden voorkomt als beschermingsmaatregel tegen onbevoegd meelezen.
Peeters: „Wel zien we dat steeds meer bedrijven hun e-mail beveiligen voor hun correspondentie met de buitenwereld, ook doordat er steeds meer standaarden voorhanden zijn. Vroeger gebruikte je daarvoor PGP (Pretty Good Privacy). Een voordeel van dat programma was dat het freeware was. Daar stond tegenover dat het niet werd ondersteund. Dat maakte dat het programma beter geschikt was voor privé-personen dan voor bedrijven. Een knelpunt is dat het moeilijk is de sleutels van versleutelde e-mail op een gestructureerde manier te verdelen over een grote groep van gebruikers.”
Het besef dat er een veiligheidsprobleem is groeit, vertelt Peeters. Het massaal opduiken van virussen van het type ’I Love You’ is daar niet vreemd aan. Peeters merkt tegelijk op dat de encryptie van e-mail geen beveiliging biedt tegen dergelijke virussen. Sterker nog: geëncrypteerde e-mail geeft een valse indruk van veiligheid tegen virussen. Eenmaal geopend kan een versleuteld en dus veilig lijkend e-mailbericht nog steeds een attachment bevatten dat na een eenvoudige dubbelklik van de linker muistoets alle kans krijgt om zijn vernietigende werk te kunnen doen.

Continue processen
E-security is in de visie van Ubizen complex. Honderd procent veiligheid kan onmogelijk worden geboden. Het Belgische Ubizen (in 1995 opgericht onder de naam Netvision) biedt gespecialiseerde diensten en producten voor Internet-beveiliging aan. Het bedrijf houdt ook kantoor in Nederland en telt onder zijn klantenkring gerenommeerde namen voor wie beveiliging van cruciaal belang is voor de interne en externe bedrijfsvoering. Dat zijn bedrijven als ABN Amro, Bank Labouchère, ING-groep, KPN en de Telegraaf.

Unieke positie
Ubizen neemt naar eigen zeggen met een reservoir van 300 gespecialiseerde ingenieurs een vrij unieke positie in binnen de Europese virtuele beveiligingssector. Ubizen stelt dat e-security niet alleen een probleem is van de IT-afdeling binnen het bedrijf; en dat beveiliging ook geen netwerkcomponent is; maar dat Internet-beveiliging een integraal deel moet uitmaken van het ondernemingsproces. Daar komt bij dat als het over Internet-, extranet- of intranetbeveiliging gaat, het niet gaat over een eenmalige projectbeslissing, maar over een continu proces. Ook moet men zorg dragen dat de beveiliging over verschillende niveaus wordt gegarandeerd.
Peeters: „Je moet het zien alsof je een huis aan het bouwen bent. De fundamenten zijn de infrastructuurbeveiliging. Daarop is alles gebaseerd. Je netwerk moet inherent veilig zijn, anders valt het kaartenhuisje in elkaar. Maar het is niet voldoende om op dat niveau aan beveiliging te doen. Als je een netwerk of een firewall hebt, is infrastructuurbeveiliging onvoldoende. Je moet ook een fijnmazige beveiliging inbouwen binnen de applicaties zelf.”
Peeters stelt dat de meeste toepassingen vroeger binnen bijvoorbeeld een mainframe-omgeving over een eigen beveiliging beschikten die door de leverancier van het product op een niet gestandaardiseerde manier was ingebouwd. Peeters: „Dat betekende dat als je drie applicaties naast elkaar had draaien, er heel weinig overleg tussen die applicaties was. Het was met andere woorden quasi onmogelijk om de integratie van die applicaties op het beveiligingsniveau te realiseren. We zien nu dat er daarvoor aandacht komt. Ook omdat steeds meer dezelfde technologie wordt gebruikt, met alle voordelen en nadelen van dien.” Standaardpakketten hebben grotendeels de aloude applicaties op maat van de eindgebruiker vervangen. Nieuwe gevaren steken de kop op.

Standaardisatie
Het ’I Love You’-virus toont overduidelijk aan dat standaardisatie een nieuw probleem is. Het virus bleek alleen gevaarlijk te zijn voor gebruikers van Microsoft Outlook. Peeters: „Eén van de grote problemen vandaag de dag is dat applicaties publieke kennis zijn geworden. Als er eenmaal een bug voorkomt, kan die gevolgen hebben voor alle gebruikers. Toch komen de meeste gevaren niet van buitenaf”, waarschuwt Peeters.
„Historisch gezien is er altijd de nadruk gelegd op het beveiligen van de toegang naar het interne netwerk. Beveiliging werd gezien als een harde schaal die rond het interne netwerk moest worden gebouwd. Eenmaal binnen, kon je als gebruiker doen waar je zin in had. Er werd uitsluitend naar aanvallen van buitenaf gekeken, maar veel rapporten tonen
aan dat problemen komen van interne medewerkers, gewild of niet, met voorbedachte rade of niet. Heel wat hackerstools zijn vrij beschikbaar op het Internet. Dat zijn niet de meest gesofisticeerde hackerstools, maar die kunnen desalniettemin veel schade aanrichten.
Ik denk dat een 80-20-verhouding niet abnormaal is. Tachtig procent van de problemen ontstaat intern. Daar wordt weinig aandacht aan besteed. Typisch wordt zoiets met de mantel der liefde bedekt. Terwijl een aanval van buitenaf doorgaans wordt aangezien voor een fundamenteel beveiligingsprobleem, wordt het probleem van een interne medewerker die op een server rondneust waar hij niet thuis hoort, meestal gezien als iets dat bij het leven hoort.”

De Ubizen-groep heeft een eigen portaalsite voor beveiliging op URL: www.security watch.com

Luc Van Peteghem
Automatisering Gids • 23-06-’00
 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!