EEN KRANT GEPRODUCEERD DOOR MEDIAPLANET
Becommerce Veiligheid is de hoeksteen van e-commerce
vincent Van Quickenborne Niet meer naar het gemeentehuis dankzij elektronisch burgerloket
Foto: istockphoto.com - joruba
INFORMATION SECURITY
Maart 2009
14 TIPS
voor de zakenreiziger
advertentie
een krant geproduceerd door mediaplanet
Beveiliging is geen louter IT aangelegenheid
Netwerk - en backendbeveiliging onlosmakelijk met elkaar verbonden
| INFORMATION SECURITY
“Informatiebeveiliging moet een blijvende zorg zijn” De goede werking van onze maatschappij en onze economie is in toenemende mate afhankelijk van de kwaliteit en de veiligheid van onze informatienetwerken en -systemen en van hun correct gebruik. Maar precies die informatiesystemen zijn vandaag kwetsbaarder dan ooit door de onderlinge verbindingen van meerdere netwerken waardoor allerlei vormen van aanvallen vergemakkelijkt worden: fysieke en softwarematige aanvallen op infrastructuren en systemen, oplichting, aantasting van de persoonlijke levenssfeer, verspreiding van illegale informatie zoals kinderpornografie, economische spionage. tekst: FRANS GODDEN
ook praktische voorstellen geformuleerd worden om een degelijk nationaal informatie beveiligingsbeleid op poten te zetten.
Jan Deprest Voorzitter directiecomité Fedict
Nood aan beveiligingsbeleid Het is daarom van essentieel belang dat we de evolutie van die bedreigingen aandachtig volgen en de zwakke punten van onze informatiesystemen in kaart brengen. Daarnaast moeten we de informatie over veiligheidsincidenten die zich in ons land voordoen verzamelen en analyseren om gepast te kunnen reageren. Tegelijkertijd moeten we de maatschappij (burgers, kleine en grote organisaties) informeren over de nodige preventieve en corrigerende maatregelen. Onder impuls van Fedict, de Federale Overheidsdienst Informatie en Communicatie technologie, heeft de ministerraad daarom eind 2005 een overlegplatform opgericht dat de opdracht kreeg de uitdagingen rond informatieveiligheid aan te pakken. BeNIS, wat staat voor Belgian Network Information Security, heeft experten van Fedict en andere overheidsinstellingen samengebracht rond informatie beveiliging. In 2007 hebben zij een white paper uitgewerkt waarin niet alleen de tekortkomingen van de huidige beveiliging worden toegelicht, maar waarin
tot een beschermde database ook dat overlegplatform zeker komen waarin we de kritische in stand willen houden. Er zijn ICT-infrastructuur niet alleen ook initiatieven genomen om bij de overheid maar ook in de informatiebeveiliging als een verschillende sectoren opsommen cultuur mee te geven, om de menen samen met het crisiscentrum sen te sensibiliseren. Uiteindelijk Nu was de tweede helft van van Binnenlandse Zaken kijken is veiligheid het probleem van 2007 helemaal geen geschikt hoe we dat kunnen beheren. eenieder, ook van de burger. moment om met dit document naar buiten te komen, gezien De derde prioriteit ligt intern Want we moeten ons geen de bestuurssituatie waarin ons bij de federale overheid. begoochelingen maken: informaland zich toen bevond. Maar we Wanneer je continu met alle tion security moet een blijvende hebben de waakvlam brandende sectoren over beveiliging zorg zijn: er zullen nu eenmaal gehouden tot we terug een praat, moet je zelf ook wel het altijd mensen en organisaties regering hadden waarmee goede voorbeeld geven, en dus zijn die willen inbreken, dat we de discussie ook politiek moeten we in de eerste plaats de is van alle tijden. Maar het konden voeren. We hebben informatiebeveiliging op federaal is duidelijk dat we niet bij de intussen ook al samengezeten niveau stroomlijnen. We starten pakken blijven zitten, dat we met de werkgroep die in nu met veiligheidsadviseurs voor niet passief toekijken – ook qua september vorig jaar het witboek heel het federale niveau die mee informatiebeveiliging gebeurt er “Naar een Belgische Strategie information security policies wel degelijk wat in België. En een voor Informatiebeveiliging” opstellen en de medewerkers beurs als Infosecurity is daar het publiceerde. Met specialisten bewust maken van wat er gebeurt levende bewijs van. uit die werkgroep van van en wat ze moeten doen. Daarvoor onder meer de KUL, de Solvay worden momenteel een wet en Jan Deprest Business School, LSEC, ISSA, een aantal Koninklijke Besluiten Voorzitter directiecomité Fedict ISACA, Infopole Cluster TIC en voorbereid. En een vierde element CETIC hadden we constructieve heeft betrekking op de evaluatie, Jan Deprest zal deze ”white gesprekken. certificatie en homologatie van paper” verder toelichten op de systemen die gevoelige informatie information security beurs op Vier prioriteiten verwerken. Wij hebben nood Donderdag 26 Maart tussen Van de negen projecten die uit aan een entiteit op federaal 13.30. en 14.30. Voor meer onze white paper naar voor niveau die de veiligheid van de informatie hieromtrent: http:// gekomen zijn, hebben we nu vier producten certifieert. Momenteel www.infosecurity.be prioriteiten gedistilleerd. De eerste moeten Belgische advertentie is het opzetten van het CSIRT, bedrijven daarvoor naar het Computer Security Incident het buitenland met hun Response Team, dat ervoor moet producten, en dat is zorgen dat de Belgische economie vervelend. en maatschappij beschermd zijn wanneer er zich een aanval Probleem van voordoet. De tweede prioriteit eenieder zijn er beantwoordt aan een Europese Daarnaast richtlijn van december 2008 uiteraard nog heel wat die zegt dat elk land tegen eind initiatieven die vandaag 2010 een overzicht moet hebben al bestaan, zoals FCCU, van zijn kritische infrastructuur, Federal Crime Computer in de eerste plaats voor de Unit, die zeer goed werk sectoren energie en mobiliteit. De leveren. Die initiatieven bedoeling is dat wij met de FOD laten we zeker verder Economie en de FOD Mobiliteit werken, net zoals we
De digitale samenleving waarin we ons vandaag bevinden biedt ons meer mogelijkheden dan ooit voorheen. Maar dit wil niet zeggen dat we blind mogen zijn voor de gevaren waaraan ze ons blootsteld. Met deze editie willen we bedrijven en consumenten van deze gevaren bewust maken. Niet opdat ze uit de digitale samenleving wegvluchten, maar zodat ze dankzij de instrumenten die we hen in deze editie zullen aanreiken ten volle van al haar mogelijkheden durven gebruik maken.
INHOUD Informatiebeveiliging moet een
2
blijvende zorg zijn Beveiliging is geen louter IT
3
aangelegenheid Security is vaak een kwestie van
4
hygiëne Een virtuele haven voor al
5
je documenten Netwerk – en backendbeveiliging
6
onlosmakelijk verbonden Beveiliging onderweg heeft zowel
6
een soft- als een hardwarekant België timmert hard aan zijn
7
informatiebeveiliging Websitebeveiliging is een must
8
Wat bezielt een (computer) inbreker
8
eigenlijk? Geen enkele sector nog veilig
9
voor phishing Geen enkele sector nog veilig voor
10
phishing De verborgen schade van een
10
computerinbraak Security policy moet kern van
11
beveiligingsstrategie zijn
Mediaplanet produceert, financiert en ontwikkelt themakranten In pers, online en via broadcasting. www.mediaplanet.com
INFORMATION SECURITY PUBLICATIES MEDIAPLANET PUBLISHING HOUSE
Maximale beveiligde mobiliteit
Project Manager: Kevin Mottard, Mediaplanet Publishing House B.V. +32 2 421 18 33 Design & repro: Yoram Salamon (K-tactik, +33 6 61 58 59 88) Redactie: Frans Godden, Johan Dillen, Barbara Vandenbussche Pictures: www.istockphoto.com Print: Corelio
dankzij USB stick
Mediaplanet is de leidinggevende Europese uitgever van themakranten in pers, online en via broadcasting. Als u zelf een idee heeft over een onderwerp, of misschien wel een heel thema, aarzelt u dan niet om contact met ons op te nemen. Mediaplanet Publishing House, Aurore Preszow, Country Manager tel: +32 2 421 18 20 www.mediaplanet.com Gedistribueerd met De Standaard op 23 Maart 2009
Wapen jezelf voor je online
12 12
gaat schoppen BeCommerce-label moet e-shoppers
13
vertrouwen schenken Ziekenhuizen kunnen op veilig
13
spelen dankzij barcodes De elektronische factuur kan enorme
14
besparingen opleveren e-citizen: weg met de loketten
14
Een veilig loket via internet.
15
INFORMATION SECURITY |
Beveiliging is geen louter IT-aangelegenheid
“Informatiebeveiliging wordt soms gepercipieerd als vooral de verantwoordelijkheid van IT, maar in onze ogen is ook een heel grote rol weggelegd voor verschillende businessdepartementen”. Dat is de mening van Steven De Haes van UAMS en professor Wim Van Grembergen van de Universiteit Antwerpen. tekst: FRANS GODDEN
S
nel en flexibel kunnen beschikken over betrouwbare informatie vormt een belangrijk onderdeel van het zakenleven, omdat informatie in vele gevallen de onderscheidende productiefactor is die het mogelijk maakt tijdig de juiste beslissingen te nemen en zo misschien een concurrentieel voordeel te behalen. De hoeveel heid aan informatie is met de jaren exponentieel gegroeid en zal nog sneller groeien, als we een recent rapport van IDC mogen geloven, dat voorspelt dat in 2011 de digitale wereld (digital universe) tien keer groter zal zijn dan in 2006. Informatie is dus ontegensprekelijk een van de waardevolle bezittingen van een bedrijf. Ervoor zorgen dat deze informatie niet in verkeerde handen valt en voorkomen dat ze al dan niet bewust verkeerd gebruikt wordt door zowel mensen binnen als buiten de organisatie, moet dan ook als prioritair worden gezien. Een falend beleid rond informatiebeveiliging kan logischerwijze nefaste gevolgen hebben. Een businessrisico Wim Van Grembergen, professor aan de Faculteit Toegepaste Economische Wetenschappen, departement Beleidsinformatica van de Universiteit Antwerpen, windt er geen doekjes om: ‘In essentie gaat het hier om een serieus businessrisico waar eigenlijk vanuit de business te weinig aandacht aan besteed wordt. De hele beveiligingsproblematiek komt dikwijls pas naar boven op het moment dat zich een catastrofe heeft voorgedaan, en dan wordt vaak naar IT gekeken, maar die mensen hebben doorgaans niet de middelen of de opdracht gekregen om daar werk van te maken, en advertentie
kan worden in alle bestaande bedrijfsprocessen’.
Steven De Haes Coördinator Information Systems Management aan UAMS (Universiteit Antwerpen Management School) en senior researcher aan het ITAG Research Institute. ook onvoldoende autoriteit. Het is juist de taak van de business op voorhand te bepalen wat precies moet beveiligd worden en in welke mate, want niet alles heeft dezelfde graad van beveiliging nodig.’ Natuurlijk wordt informatie in organisaties veelal beheerd en verwerkt in IT-systemen en dus heeft het IT-management een belangrijke verantwoordelijkheid om de beveiliging binnen en rond deze systemen te waarborgen. ‘Maar het gaat niet op om alles op de nek van IT te schuiven en te stellen dat IT het maar moet oplossen als het fout loopt’, stelt Steven De Haes, coördinator Information Systems Management aan UAMS (Universiteit Antwerpen Management School) en senior researcher aan het ITAG Research Institute. ‘Eigenlijk komt het altijd op hetzelfde neer: het aligneren van business en IT. Informatie-beveiliging is niet louter een opdracht voor IT, maar integendeel in hoge mate de verantwoordelijkheid van het hogere businessmanagement dat een duidelijke beveiligingsstrategie moet omschrijven die ge-ïntegreerd
Met COBIT De Haes en Van Grembergen hebben tijdens hun onderzoek vastgesteld dat er in veel bedrijven nog weinig of geen sprake is van een security policy, een beveiligingsbeleid, en dat het nog te veel bij losse initiatieven blijft. ‘Nochtans bestaat er een praktisch raamwerk voor informatiebeveiliging, COBIT, wat staat voor Control Objectives for Information and related Technologies’, zegt Van Grembergen. ‘Daarin staan gedetailleerde praktijken beschreven voor IT beveiliging in een logisch raamwerk van 34 IT-processen, maar als we in organi-saties gaan kijken hoe het gesteld is met de maturiteit van dat raamwerk, dan is dat vaak een ontgoocheling, tenzij er zich net een catastrofe heeft voorgedaan’. ‘Klopt’, zegt Steven De Haes, ‘We hebben dat duidelijk gezien na de aanslagen van 11 september in de VS: toen was er een verhoogde aandacht voor de beveiligingsprocessen, maar intussen is die aandacht alweer wat verslapt. Weet je, de security staat in COBIT wel duidelijk omschreven, maar.eigenlijk komen die beveiligingselementen ook in heel veel andere processen terug. Het is geen geïsoleerd, maar een geïntegreerd IT-en businessproces met gedeelde verantwoordelijkheden”. Samenwerking met HR Precies daar zit volgens Wim Van Grembergen nog een ander probleem: IT kan de nodige tools inzetten om bij de beveiliging ervoor te zorgen dat alleen de juiste mensen de juiste dingen kunnen doen, maar er is een
Wim Van Grembergen Professor aan de faculteit economische wetenschappen departement beleidsinformatica aan de universiteit van Antwerpen intense samenwerking nodig met vooral het HR departement om de profielen van die mensen te kennen. ‘Ik neem het voorbeeld van iemand die het bedrijf verlaat: dan moet er een juiste procedure bestaan opdat HR dit meldt aan IT zodat op een bijna geautomatiseerde manier alle mogelijke toegang tot het bedrijfsnetwerk voor die persoon dan afgesloten wordt. En heel vaak gebeurt dat niet; men laat het gewoon aan IT over, maar daar is men niet noodzakelijk op de hoogte van die nieuwe situatie’. Volgens Steven De Haes worden we daar met de scheiding van de verantwoordelijkheden geconfronteerd. ‘Het is de verantwoordelijkheid van HR om de securityvereisten voor die persoon vast te leggen en het is de verantwoordelijkheid van IT om die in de praktijk uit te voeren. Maar IT kan dat niet uitvoeren als HR niet op een correcte manier de parameters heeft vastgelegd!’. En Wim Van Grembergen vult aan: ‘Wat je dus eigenlijk nodig hebt, is een governance structuur, want ITsecurity vertrekt eigenlijk vanuit business security, op een hoger niveau’.
Nieuwe oriëntatie Beide onderzoekers ergeren zich ook aan het feit dat men in sommige organisaties wel de functie van Security Officer gecreëerd heeft (onder meer in de bankwereld is men verplicht een dergelijke functie te hebben), maar dat die functie vaak niet onderbouwd is door onderliggende processen die ze moeten voeden. Steven De Haes: ‘Security is natuurlijk wat ik zou noemen “moeilijk geld”: er wordt vaak pas aandacht aan besteed als er iets misloopt. Pas dan worden er wél budgetten vrijgemaakt om iets op de rails te zetten.’ Belangrijk is volgens hem wel de mindshift die COBIT ondergaat. ‘COBIT is een raamwerk dat in de eerste plaats geschreven is voor ITverantwoordelijken, maar nu komt er een aanvullend raamwerk, Risk IT, dat het belang van de rol van de business sterker in de verf gaat zetten. Er worden daarmee negen businesspArocessen rond risk en security management aan COBIT toegevoegd, en dat betekent dat de businessbetrokkenheid veel groter zal worden.’ Wim Van Grembergen waarschuwt wel dat alle partijen oog moeten hebben voor het eeuwige dilemma tussen gebruiksvriendelijkheid en beveiliging: ‘Je kunt alles afsluiten, maar dan kun je niet meer werken. Je moet een zekere flexibiliteit aanhouden; beveiliging mag geen hindernis worden; en in sommige organisaties is dat helaas wel het geval: alles is afgesloten, je kan bijna niets meer. Precies daarom is het samenspel tussen business en IT zo belangrijk om dat delicate evenwicht te bewaren’, besluit hij.
| INFORMATION SECURITY
Security is vaak een kwestie van hygiëne
Het is niet omdat je een aantal beveiligingstools koopt dat je security uitdaging opgelost is. Security is een soort hygiëne waarvan de hele organisatie moet doordrongen zijn, en net zoals je zorgt voor je persoonlijke hygiëne moet je ook oog hebben voor die securityhygiëne. Dixit Peter Snauwaert. tekst: FRANS GODDEN
“ Het is niet omdat je een aantal beveiligingstools koopt dat je security uitdaging opgelost is.” Foto: istockphoto.com - dspn
Peter Snauwaert IBM Tivoli Security
E
en wereldwijd onderzoek van onder meer PricewaterhouseCoopers wees uit dat in 2007 werknemers voor het eerst geciteerd werden als de meest waarschijnlijke oorzaak van veiligheidsincidenten in organisaties. Meer dan de helft van de ondervraagden was van oordeel dat minder dan 75 procent van hun personeel voldeed aan hun beleid inzake informatieveiligheid. En belangrijk: Belgische bedrijven bleken minder beveiligingsmaatregelen te treffen qua opleiding en bewustmaking van hun werknemers. Ook het jaarrapport van de hoogaangeschreven U.S. Computer Security Institute (CSI) kwam tot de vaststelling dat er vandaag meer beveiligingsproblemen zijn door werknemers dan door virussen.
‘Ik kan dat alleen maar bevestigen’, zegt Peter Snauwaert van IBM Tivoli Security. ‘Vroeger waren het vooral de hackers die incidenten veroorzaakten, vandaag zien we dat het steeds meer de interne werknemer is die aan de basis ligt van die incidenten. Maar het is niet omdat je een tool koopt dat je securityuitdaging opgelost is. Het is een soort hygiëne, en een bedrijf moet investeren om zijn werknemers bewust te maken van security. Het heeft geen zin om identity management en single signon en een sterke paswoord policy op te zetten als mensen hun paswoord op een papiertje schrijven en tegen hun monitor plakken.’ Persoonlijke security hygiëne Hij maakt zich ook niet al te veel begoochelingen over security policies. “Ja, steeds meer bedrijven hebben een security policy en dat is positief, maar nog al te vaak ligt die ergens in een kast stof te vergaren en wordt hij niet effectief toegepast. En zelfs al heb je een policy en de nodige tools om hem toe te passen, als de mensen niet meewillen, lukt het toch niet die hygiëne moet er zijn. Ik vergelijk het met online banking: men schiet op de banken als er beveiligingsproblemen zijn, maar niemand vraagt zich
Johan Beckers
IBM Internet Security Systems Solutions Leader
af hoe het met de consument zit, want van hem wordt wel verwacht dat hij thuis een goeie firewall heeft, antivirus en dergelijke zijn persoonlijke security hygiëne, zeg maar”. Peter Snauwaert krijgt de kriebels van bedrijven waar de CEO tegen de security officer zegt: risk management, dat is jouw probleem “Dat is helemaal niet zo, het is voor elke werknemer zoals het arbeidsreglement : je wordt geacht het te kennen en toe te passen als een goede huisvader. Maar weet je wat nog het ergste is : security is vaak niet zichtbaar binnen een bedrijf, en in tijden van crisis begin men er dan op te besparen tenzij er natuurlijk iets ernstigs gebeurt en men intellectual property aan het verliezen is of faalt voor security audits”.
Hij pleit dan ook voluit voor gedeelde verantwoordelijkheden binnen een bedrijf. “Wij zien al langer dat het niet meer volstaat een persoon de juiste accounts toe te kennen, het is minstens even belangrijk te weten wat die persoon nu juist met die accounts doet. Daarom ook is het van belang dat gemeld wordt wie het bedrijf verlaat zodat die account automatisch kan afgesloten worden. Security auditors kijken daar streng op toe op, maar dat vraagt een natuurlijke samenwerking tussen HR en IT ”. Grijze zone Waar vroeger backend en frontend security vrij gescheiden domeinen waren, krijg je nu steeds meer overlappingen”, zegt Johan Beckers, IBM Internet Security Systems Solutions Leader. “Alles wordt met elkaar verbonden, interne en externe security, je kan dat niet meer los zien van elkaar, en dat is ook de reden waarom wij met IBM een Security Framework hebben opgezet waarin je een mix van diensten en harden software-oplossingen vindt. Wij gaan altijd samenzitten met de klant om te kijken waar vandaag zijn zwakke punten zijn, waar hij al dan niet al geïnvesteerd heeft in security. En we gaan ook na wat vandaag zijn grootste bezorgdheid is : zijn het datalekken,
of risk management, of privacy, of availability ?”. Er is volgens Peter Snauwaert nog een andere reden voor die overlapping. “Vandaag is iedereen met iedereen verbonden, de interne en de externe wereld vloeien steeds meer in elkaar, klanten en derden en leveranciers krijgen toegang tot bepaalde portals en data in de onderneming zelf, en zo komen ook interne en externe security steeds vaker samen. Netwerken Internetsecurity zijn nu één groot kluwen geworden, met een waaier van facetten, en dat gaat veel verder dan firewall en anti-virus”. Toch mag je ook niet overdrijven, waarschuwt hij. “Het is zoals met een woning : als je wil dat er niemand meer binnenkan, dan timmer je de ramen dicht en haal je de deur weg. Zo ook kan je een PC perfect beveiligen door je netwerkkabel uit te trekken. Maar dan kan je natuurlijk niet meer werken. Het is altijd een beetje dansen op een slappe koord, een evenwicht zoeken tussen het werkbare en het zo secuur mogelijk beveiligen van je organisatie”.
INFORMATION SECURITY |
Een virtuele haven voor al je documenten Het verwerken en bewaren van informatie is een van de kernfuncties van de computer. Maar de toepassing is zijn fysieke beperkingen stilaan aan het ontgroeien. Wie zijn data op een veilige en flexibele manier wil bewaren, kan tegenwoordig een beroep doen op een heel scala van oplossingen op vlak van hardware, software en services. tekst: Barbara Vandenbussche
“Vooral in deze tijden van economische terugval blijken bedrijven het belang in te zien van een zo efficiënt mogelijk gebruik van hun opslagruimte” Foto: istockphoto.com - Wellmony
“Opslagfaciliteiten evolueren naar een brede totaaloplossing binnen zowel grote ondernemingen als KMO’s’, vertelt Eddy Blancquaert van IBM. ‘Meer en meer spreken we van een dynamische infrastructuur, die zich feilloos kan aanpassen aan de mogelijk snel veranderende noden van de klant. Specifiek voor gegevensopslag moet deze infrastructuur een duidelijk en continue antwoord bieden op vier fundamentele uitdagingenE“Infor mation Compliance”,om risico’s te verminderen en auditfalen te vermijden;“aInformation Retention”, het beleid rond het bijhouden van informatie; “Information Security”, waarbij we gegevens beschermen en zorgen voor een veilige uitwisseling van informatie; en tot slot “Information advertentie
Availability”, het leveren van continue en betrouwbare toegang tot de informatie. Virtualisatietechnieken zoals onze SAN Volume Controller (SVC) maken bovendien de flexibiliteit voor de bedrijven groter, doordat bedrijven niet meer gebonden zijn aan een bepaald merk van harde schijven. Ze kunnen hun schijven van een andere leverancier gewoon behouden, en toch gebruik maken van die virtualisatie.’ Bijkomend voordeel voor de klant: data kunnen transparant, dus zonder de applicatie te stoppen, verplaatst worden van oude technologie naar up-to-date technologie. Klanten hebben de keuze om welk opslagsysteem dan ook te gaan gebruiken op een transparante manier. Hun oude technologie
gaat bovendien niet verloren, want die kan nog gebruikt worden als back-up of voor het archiveren van databestanden. Naast die flexibilisering krijgt de gebruiker tegelijk ook meer controle, want dankzij de SVC is een centraal beheer van alle opslagfaciliteiten mogelijk. Ook al werk je in een heterogene omgeving, je hebt maar één console nodig, en je hoeft niet meer apart op de verschillende boxen te gaan om iets te zoeken. Zo is het voor administrators veel makkelijker om bijvoorbeeld vrije ruimte te vinden of om data te verplaatsen. Teruggewonnen investering Vooral in deze tijden van economische terugval blijken bedrijven het belang in te zien van
een zo efficiënt mogelijk gebruik van hun opslagruimte. Dikwijls kopen ondernemingen tientallen terrabytes opslagcapaciteit aan, waarvan ze maar een klein percentage ruimte gebruiken. Wanneer ze die efficiëntie kunnen verhogen van pakweg 50 tot 80 of 90 procent en bovendien onnodige gegevens moeiteloos en doeltreffend kunnen verwijderen, hebben ze hun investering in een virtualisatieoplossing zoals SVC al snel teruggewonnen. Vooral bij KMO’s blijkt er bovendien heel wat interesse te bestaan voor de mogelijkheden die virtuele toepassingen bieden op het vlak van disaster recovery en het kopiëren of klonen van gegevens voor verschillende gebruikers. Minstens even
belangrijk is efficiënt documenten beheer. Softwaresuites maken bijvoorbeeld komaf met ongebruikte achtergebleven data op harde schijven door deze automatisch te verplaatsen naar een andere drager. ‘Dit voorbeeld maakt duidelijk hoe de verschillende componenten hardware, software en services één geheel vormen. Dat heeft ook zijn gevolgen voor de klantenrelaties. In tegenstelling tot vroeger, toen ze gewoon losse dragers aankochten, gaan bedrijven nu ook voor storage een langetermijnrelatie aan met hun dienstverlener om een oplossing uit te werken die afgestemd is op hun behoeften.”
| INFORMATION SECURITY
Netwerk- en backendbeveiliging onlosmakelijk verbonden ‘Beveiliging in een bedrijf gaat veel verder dan het plaatsen van een firewall ergens op het netwerk: het is een end-to-end aangelegenheid van frontend tot backend, waarbij security geïntegreerd dient te zitten in elke netwerkcomponent en er samenwerking moet zijn tussen alle security-functionaliteiten’, zegt Ron Jacobs, sales business development manager bij Cisco Systems Nederland.
Ron Jacobs
Sales business development manager bij Cisco Systems Nederland.
B
ackend security is een vlag die heel wat ladingen kan dekken, al naargelang de diensten of producten die een bedrijf aanbiedt. Voor softwareleveranciers betekent het de beveiliging van hun toepassingen, voor databaseleveranciers het veiligstellen van hun gegevens, en voor serverfabrikanten het beveiligen van de server infrastructuur. Specifiek voor het netwerk is het belangrijk dat switches, routers,
en voice- en video-infrastructuur door de leverancier al voorzien zijn van de nodige beveiligingsmaatregelen. ‘Daarbij heeft de klant uiteraard nog altijd de keuze of hij al dan niet gebruik wil maken van deze beveiligingen”, licht Ron Jacobs toe. “ Maar daarnaast bestaan er natuurlijk nog specifieke producten die voor de beveiliging van de volledige backend kunnen zorgen, zoals netwerkapplicatie, firewalls, IPSystemen of opslagbeveiliging. Belangrijk is daarbij dat een bedrijf beseft dat beveiliging geen “point solution” is maar een totaaloplossing moet zijn.” End-to-end Volgens Jacobs vervaagt de grens tussen netwerk- en/of internetbeveiliging steeds meer door de manier waarop bedrijven alsmaar intensiever en gepersonaliseerder met hun afnemers en partners samenwerken. De relatie tussen consument, werknemer en werkgever wijzigt sterk in een Web 2.0 omgeving, en wordt nog versterkt door het fenomeen van mobiel werken. ‘Qua beveiliging gaat het erom dat de totale dienstverlening
wordt gewaarborgd op het vlak van integriteit, betrouwbaarheid en continuïteit. Elke schakel in de keten speelt hierbij een even belangrijke rol, en precies daarom is beveiliging niet enkel een kwestie van ergens een firewall te plaatsen maar wordt het integendeel een end-to-end aangelegenheid waarbij security geïntegreerd zit in elke netwerkcomponent en de verschillende security-oplossingen ook effectief samenwerken. En het netwerk is hiertoe het ideale platform, omdat het alle schakels met elkaar verbindt en op die manier een totale beveiliging kan waarborgen’, aldus Jacobs.
Foto: istockphoto.com - Mishooo
tekst: FRANS GODDEN
“ Beveiliging moet een totaaloplossing zijn”
Hij verheelt niet dat werknemers een cruciale rol spelen in het verzekeren van die beveiliging. Bedrijven als Cisco investeren dan ook veel in oplossingen die niet alleen naar het netwerk- en applicatiegedrag van die werknemers kijken en eventueel ingrijpen indien nodig, maar ook verhinderen dat bepaalde informatie het bedrijf zou verlaten data loss prevention dus.
Beveiliging onderweg heeft zowel een softals een hardwarekant tekst: FRANS GODDEN
V
olgens een recente studie van het Ponemon Institute verliezen zakenmensen wekelijks zo’n 12.000 laptops, en bij amper een derde daarvan zou de informatie beschermd zijn. Sterker nog, elke 50 seconden verdwijnt er een laptop op een vliegveld ergens in de VS. Laptops die na een bepaalde tijd niet worden opgevraagd, worden door vliegtuigmaatschappijen niet zelden te koop aangeboden op veilingen. En dat betekent dat gevoelige bedrijfsinformatie gewoon in handen kan komen van de hoogste bieder.
Foto: istockphoto.com - Melnny
Maatregelen nemen om dit te vermijden is dus geen overbodige luxe. We zetten er een aantal op een rijtje.
14 TIPS
voor de zakenreiziger
Zorg er eerst en vooral voor dat je al je Vermijd een publiek netwerk te gebruiGebruik als het kan laptop recovery 1vertrekt, gegevens geback-upt hebt alvorens je 7ken waarvoor je geen paswoord moet 13en tracking software. Wordt je en zet de meest gevoelige infor- ingeven - tenzij je bedrijf een VPN-functie laptop toch gestolen, dan kan die in veel matie op een geëncrypteerde USB-stick die je los van je laptop meeneemt.
2
Draag je laptop zo mogelijk in een onopvallende tas zonder de merknaam van de computer.
voorzien heeft.
zeker nooit financiële transacties 8zekerDoe onderweg, tenzij je honderd procent bent dat je op een beveiligd netwerk zit.
Steek hem zeker nooit in de valies die Gebruik complexe paswoorden en 3of gestolen je incheckt - het risico dat hij stuk gaat 9verander ze regelmatig. wordt is dan zeer groot. Zorg dat je anti-virus en anti-spyHoud je laptop maximaal in ’t oog wan- 10ware software altijd up-to-date zijn. 4neer je door de metaaldetector moet, Gebruik je geen laptop maar een en zorg dat hij duidelijk voorzien is van een label met je persoonlijke gegevens. 11publieke computer in bijvoorbeeld een hotel of een bibliotheek, weet dan dat Laat nooit je laptop onbewaakt achter, er keyloggers kunnen op geïnstalleerd 5hotelkamer ook niet wanneer je maar even je zijn die elke toetsaanslag registreren en verlaat. zo achteraf criminelen in staat stellen
6
Werk je op een publieke plaats, gebruik dan bij voorkeur een kabelslot of een andere mechanisme dat potentiële dieven al twee keer doet nadenken alvorens ze met je laptop aan de haal proberen te gaan.
je paswoorden en gebruikersnaam te achterhalen.
Wis op zo’n computer na het surfen 12 de browsergeschiedenis zodat er geen sporen overblijven van cookies of
gevallen dankzij dergelijke programma’s via het IP-adres gelokaliseerd worden zodra de dief ermee op het Internet komt.
Nog een laatste waarschuwing : 14 vooral in de VS komt het steeds vaker voor dat veiligheidsmensen een
laptop in beslag nemen om welke reden dan ook en de volledige inhoud van de harde schijf screenen. Soms krijg je hem zelfs pas veel later terug. Steeds meer bedrijven beginnen daarom aan hun medewerkers een “lege” laptop mee te geven waarop geen gevoelige bedrijfsinformatie staat. Eenmaal op hun bestemming loggen de zakenmensen aan op de Website van hun bedrijf en downloaden de bestanden die ze nodig hebben. Of ze nemen die bestanden apart mee op een USB-stick of een geheugenkaartje (dat je gemakkelijk onopvallend in je portefeuille of geldbeugel kan steken).
bezochte Websites
advertentie
Cisco - The Self Defending Network Cisco - Protects your network, your data and your employees Cisco Solutions are fast, smart and reliable and meet all needs
Visit now www.cisco.be
INFORMATION SECURITY |
België timmert hard aan zijn informatiebeveiliging
De problemen rond de vorming van een nieuwe regering mogen de plannen voor informatiebeveiliging in ons land dan wel tijdelijk op ijs gezet hebben, het betekent niet dat er achter de schermen niet hard aan gewerkt is. De voorstellen van het BELNIS-overlegplatform zijn nu klaar om in concrete projecten gegoten te worden. tekst: FRANS GODDEN
“Bij ons geen lekken zoals bij buitenlandse overheidsdiensten”
Foto: istockphoto.com -Thomas_EyeDesign
H
et is onmiskenbaar dat ons land vandaag zwakke punten vertoont tegenover allerhande dreigingen van buitenaf. Bepaalde internationale verplichtingen worden slecht nageleefd; de bescherming van de kritieke informatie infrastructuur is niet verzekerd; en burgers, publieke en privé-organisaties zijn zich erg ongelijkmatig bewust van de veiligheidsproblematiek. Kortom, er is dringend nood aan een gefundeerd nationaal beleid voor de informatieveiligheid, waarvoor op alle niveaus de nodige middelen worden vrijgemaakt. “Al jaren geleden waren wij ons daar terdege van bewust’, zegt Jan Deprest, voorzitter van het directiecomité van Fedict, de Federale Overheidsdienst voor Informatie en Communicatietechnologie zeg maar de overkoepelende ITpoot van de federale overheid die in 2002 werd opgericht. ‘Dat is ook de reden waarom de ministerraad in 2005 beslist heeft een forum te creëren dat zich specifiek met informatiebeveiliging zou bezighouden.” Alle belangrijke spelers Dat overlegplatform, BELNIS of Belgian Network Information Security, bestaat uit vertegen-
woordigers en experten van de federale diensten die zich in België met deze materie bezighouden: de Commissie voor de bescherming van de persoonlijke levenssfeer, de Nationale Veiligheidsoverheid (NVO, Buitenlandse Zaken), de Algemene Dienst Inlichtingen en Veiligheid (ADIV), de Staatsveiligheid, het Belgisch Instituut voor Postdiensten en Telecommunicatie (BIPT), de Federal Computer Crime Unit (FCCU, Federale Politie), Controle en Bemiddeling (FOD Economie), Fedict, de Kruispuntbank van de Sociale Zekerheid (KSZ), en het Crisiscentrum (Binnenlandse Zaken). “Een erg verscheiden ploeg, maar net daarom zo waardevol omdat zij allemaal een ander aspect van onze nationale veiligheid vertegenwoordigen en bewaken’, zegt Jan Deprest. ‘Samen hebben zij in 2007 een white paper opgesteld: Voor een Nationaal Beleid van de Informatieveiligheid. Het is een consensus tussen al die mensen die weergeeft hoe wij enerzijds willen komen tot een informatieveiligheidsstrategie en anderzijds daaruit informatieveiligheidspolicies willen distilleren. In totaal zijn daar nu negen projecten uit gedefinieerd die dat nationale informatieveiligheidsbeleid zou-
den moeten structureren volgens verschillende assen.” Negen assen Die assen of projecten zijn: de definitie van een nationale strategie; de globale beheersing van de risico’s, maatschappij voorlichting en crisisbeheer; het opstellen van wetten en reglementen; de vervolging van computercriminaliteit ;de bescherming van de informatiesystemen van de overheid; evaluatie/certificatie en homologatie van de systemen die gevoelige informatie verwerken; de organisatie van de opleiding; de vertegenwoordiging bij de internationale instanties; en de samenwerking tussen de openbare sector en de privésector. ‘Voor elk van die projecten zijn er al budgetramingen gemaakt, dus er wordt wel degelijk concreet aan gewerkt’, vult Deprest aan. Intussen loopt op het federale niveau ook een sensibilisering voor die informatiebeveiliging. ‘Er zijn duidelijk mensen bij alle ministeries die zich heel goed bewust zijn van de gevaren die we lopen. Maar beveiliging bij sociale zekerheid en volksgezondheid is toch nog altijd iets anders dan bij mobiliteit of economie: elk heeft zijn eigen specificiteiten,
zijn eigen referentiekader, zijn gewoontes en vooral zijn eigen specifieke problemen. Dat allemaal in een eenheidsworst gieten is niet goed. We moeten komen tot een forum waar we ideeën kunnen uitwisselen; waar iedereen binnen zijn omgeving doet wat hij moet doen om die te beschermen, maar tegelijkertijd ook openstaat voor communicatie om mekaar te helpen. Consensus zoeken onder mensen werkt altijd veel beter dan iets proberen door de strot te duwen, en ik denk dat we daar echt op de goeie weg zijn.” Informatie centraal houden Jan Deprest schudt meewarig het hoofd als we hem berichten uit buitenlandse media voorleggen waarin voortdurend lekken bij overheidsdiensten gemeld worden. ‘Niet bij ons’, stelt hij met klem. ‘Onze aanpak is totaal verschillend: wij proberen zo weinig mogelijk informatie te verspreiden, maar wel zoveel mogelijk centraal te verzamelen en die dan toegankelijk te maken via een kruispuntfunctie omdat je op die manier alles veel beter kunt controleren. Je moet dan doorheen vele lagen gaan en zal altijd maar juist die informatie te zien krijgen die je nodig hebt
en waarvoor je geautoriseerd bent; de rest niet. Bij ons zijn situaties met USB-sticks met duizenden gevoeligegegevens op die verloren geraken dus weinig waarschijnlijk.’ Hij beseft natuurlijk ook wel dat alles binnen de juiste proporties moet blijven: je moet altijd een evenwicht zoeken tussen proactief en repressief werken. Hij verwijst daarbij als voorbeeld naar de mobiele werkers. ‘We werken met VPN en SSL; https; met tokens; met certificaten die regelmatig vernieuwd worden; en uiteraard met eID, de elektronische identiteitskaart. eID staat voor ons echt centraal: overheidswebsites worden vandaag met de eID geprogrammeerd. Louter user ID en paswoord gebruiken we niet meer. Vooral als je privacy-informatie gaat pushen, kun je niet meer zonder eID.’ Jan Deprest heeft er een goed oog in, de prioriteiten voor een informatiebeveiligingsstrategie zijn vastgelegd en de eerste praktische stappen zijn al gezet. ‘Weet je, eigenlijk maak me niet zoveel zorgen om veiligheid, zolang we er ons maar van bewust zijn en ermee bezig zijn’, besluit hij.
| INFORMATION SECURITY
Websitebeveiliging is een must
Af en toe lees je erover in de pers: bedrijf X of Y heeft hackers over de vloer gekregen en is zoveel tien- of honderdduizenden gegevens kwijt. Zelden of nooit wordt er over directe schade gesproken, maar heel vaak zijn de verborgen letsels veel groter dan de zichtbare. tekst: Johan Dillen
I
Bling start binnenkort als website die gespecialiseerd is in virtuele verkoop. Daarbij wil de site niet alleen de klassieke betalingsmethoden zoals de kredietkaart aanvaarden, maar ook werken via prepaidkaarten die je in de krantenwinkel haalt. ‘Onze bezoekers beschikken zo over geld dat ze op de site kunnen uitgeven’, zegt Jan Kindt. ‘Omdat wij met een betalingssysteem werken, komen wij onder de hoede te staan van de Bankcommissie (CBFA). Zij verwachten een kwalitatief niveau van beveiliging van ons’, legt Kindt uit. ‘Veiligheid is voor ons niet zomaar een vereiste: dit aspect is voor ons van cruciaal belang. Het bepaalt namelijk of wij ’s avonds met een gerust gemoed kunnen gaan slapen of niet’, beweert Kindt. ‘Dertig à veertig procent van onze focus gaat naar
Foto: istockphoto.com -Hidesy
beveiliging. Zowat een derde van Specialisten van Zion Security onze activiteit bestaat uit het hebben de website proberen te testen van de security.’ kraken, alsof een aanval van hackers zou plaatsvinden. Via ‘Dat we dat zelf niet zouden een code-audit geven ze bekunnen, was een belangrijke stap in merkingen over kwetsbaarheden het beslissingsproces. We hebben en aanbevelingen om die op te de mogelijkheden wat veiligheid lossen. Daar-naast wordt ook betreft, bekeken op diverse vak- de in-terne beveiliging bekeken beurzen en hebben dit ook met en gecheckt op rekenfouten of onze applicatieontwikkelaar The on op lettendheden, en hoe die Reference besproken. Nadat we de werking van de site beïnvloehet aanbod op de markt hebben den. Na elke aanpassing van de bekeken, zijn we uiteindelijk site, wordt de veiligheid opnieuw met Zion Security in zee gegaan getest een nogal omslachtig vanwege van hun expertise proces, maar voor ons van en ervaring in deze complexe levensbelang. Uit onderzoek blijkt materie.’ dat de helft van de e-shoppers afhaakt als ze zich niet veilig Voor een bedrijf dat heel wat voelt of te veel gegevens naar hun gevoelige data van zijn klanten gevoel moet ingeven. Honderd via de website ziet passeren, is procent veiligheid kan niemand veiligheid van essentieel belang. garanderen, maar nu kan ik wel ‘Daarom hebben we de code geruster slapen.’ van onze toepassing op alle mogelijke manieren laten testen.
Wat bezielt een (computer)inbreker eigenlijk? Het is een vraag die ongetwijfeld iedereen zich al gesteld heeft die ooit het slachtoffer geworden is van malware; waarom? Er blijken in de praktijk een waaier van motieven te zijn waarom iemand zich op het criminele computerpad begeeft. tekst: FRANS GODDEN
Z
e zijn reeds lang een minderheid, maar toch bestaan ze nog altijd: hackers die het voor de sport doen, om aan te tonen dat er gaten in de beveiliging van een bedrijf zitten. Voor sommigen onder hen is het ook een intellectuele uitdaging “eens kijken of ik dat ook kan”. Meestal zijn dan sterk beveiligde of heel bekende websites het doel, al zijn dergelijke hackers er niet op uit om publiek (h)erkend te worden. De meeste hackers van vandaag zijn nochtans uit op puur geldgewin, en dat kan zeer vele vormen aannemen. Denk maar aan elektronisch geld overschrijven via skimming, het stelen (en doorverkopen) van waardevolle gegevens, de diefstal van waardevolle diensten (communicatieverbindingen) of capaciteit (data-opslag), van advertentie
intellectuele eigendom (bedrijfs spionage of piraterij), fraude met adressenlijsten, enz.
Foto: istockphoto.com -YvanDube
DoS En wat te denken van gijzeling en afpersing op het internet? Er zijn heel wat gevallen bekend waarbij bedrijven losgeld hebben betaald om een einde te maken aan DoSaanvallen, Denial of Service, waarbij criminelen gebruik maken van massa’s geïnfecteerde pc’s om enorme trafiekvolumes te creëren naar één welbepaalde website, zodat de verbindingen dichtslibben en klanten niet meer tot op die website geraken, en het bedrijf in kwestie dus vleugellam wordt gemaakt. Er zijn zelfs malafide types die dergelijke netwerken van besmette pc’s (“zombies” in de vaktaal) verhuren aan al wie zo’n DoS-aanval wil uitvoeren; net zoals er hackers zijn die e-mailbestanden proberen
te bemachtigen om ze dan door te verkopen aan spammers. Een aparte categorie vormen hackers die op weerwraak belust zijn, tegenover personen of bedrijven met wie ze in conflict liggen of gelegen hebben. Een bekend geval is dat van een hacker in Queensland, Australië, die de computers van een waterzuiveringsinstallatie kraakte en er de oorzaak van was dat ongezuiverd water in de rivieren terechtkwam. Het kostte hem wel twee jaar gevangenis. Ook schering en inslag zijn gevallen waarbij een werknemer die weet dat hij ontslagen gaat worden, een “tijdbom” in het informaticasysteem plaatst die ervoor zorgt dat op een bepaald moment, meestal lang nadat hij het bedrijf al verlaten heeft, een vernietigende actie in de computers wordt opgestart zoals
het wissen van de database of het wijd en zijd bekendmaken van confidentiële bedrijfsgegevens (salarissen, fabricageprocessen, enz.).
Er zijn ten slotte ook steeds meer aanwijzingen dat illegale activiteiten op internet dienen om terrorisme te financieren. Voorlopig zijn er nog niet veel gevallen bekend waarbij terroristen rechtstreeks aanvallen proberen uit te voeren op computersystemen, maar insiders zeggen dat cyberwars niet meer veraf zijn. Geef ons dan maar liever politieke hackers, soms “hactivitsts” genoemd, die alleen maar websites “kapen” om hun vredelievende boodschap te verspreiden (anti-kernwapens en dergelijke).
INFORMATION SECURITY |
Geen enkele sector nog veilig voor phishing
9 BEKENDSTE VIRUSSEN
Er gaat geen week voorbij of er duikt wel ergens een bericht op over phishing. Michelangelo was zowat het ergste MSDOS virus ooit. Het begon vanaf 1991 de boot sector van harde schijven en ook elke floppy die in een pc gebruikt werd te overschrijven. Het bleef maanden verborgen tot het op 6 maart geactiveerd werd en onmiddellijk overal gegevens begon te vernietigen.
tekst: FRANS GODDEN
Foto: istockphoto.com - alan_smithee
E
naar de rekening die uiteindelijk leidt naar een valse website waar je paswoord wordt geregistreerd en misbruikt.
Al kent ook klassieke phishingfraude nog altijd succes. Vorige lente nog werd de grootste spaarbank van de Tsjechische Republiek, Cesca Sporitelna, het slachtoffer van een phishingscam die zich als een virus over het hele land verspreidde. Het was het klassieke scenario: een e-mail met de boodschap dat er iets mis is met je bankrekening en een link
Criminelen gingen vorige zo-mer nog driester tewerk bij de Orange Savings Bank waar ze zowel via e-mail als via telefoontjes klanten aanzetten om persoonlijke informatie over hun rekening te geven. In een andere sector werd eind vorig jaar Wal-Mart, de Amerikaanse supermarktreus, het slachtoffer van een phishingcampagne. Klanten kregen een mail met de vraag om deel te nemen aan een kleine enquête en als beloning zou er 90 dollar op hun rekening worden gestort. De link voerde wel naar een enquête, maar niet van Wal-Mart; en dus ook geen 90 dollar, maar wel phishing.
r gaat geen week voorbij of er duikt wel ergens een bericht op over phishing. Waar oorspronkelijk bijna uitsluitend banken geviseerd werden of beter: gebruikt werden om nietsvermoedende internetters te misleiden, lijkt tegenwoordig geen enkele sector meer te ontsnappen aan dat soort van criminele activiteiten. En de criminelen worden ook steeds vindingrijker.
advertentie
En wat te denken van een email die in augustus vorig jaar in Australië circuleerde en waarbij mensen gewaarschuwd werden dat ze een vliegtuigticket gekocht hadden en dat er zo’n 500 dollar van hun kredietkaart was gegaan? Het ticket en het ontvangstbewijs waren als bijlage toegevoegd; erop klikken zette meteen de deur open voor criminelen om alle paswoorden en andere confidentiële informatie van je pc te halen. En amper enkele weken geleden geraakte bekend dat ook de populaire zoekmachine Google het slachtoffer geworden was van phishing, meer bepaald zijn Gmail chat accounts. Ook andere chatprotocols zouden rond die tijd aangevallen zijn.
CIH wordt door velen beschouwd als een van de meest vernietigende virussen ooit. Het dook in juni 1998 op, installeerde zich ongemerkt op een pc en begon dan op een bepaald tijdstip bestanden te overschrijven en soms zelfs de BIOS, zodat je computer niet meer opstartte. Melissa werd in 1999 op de wereld losgelaten en besmette op korte tijd wel 20 % van alle computers wereldwijd (waaronder netwerken van Microsoft en Intel). Het overschreef Word-documenten met citaten uit de tv-reeks “The Simpsons”. ILOVEYOU werd in 2000 verspreid via e-mail met een attachment dat, eenmaal geopend, de computer besmette en zich daarna via de adressen in MS Outlook naar andere computers verspreidde. Het installeerde onder meer een paswoorddief op de computer.
Code Red volgde midden 2001 op de hielen van ILOVEYOU. Het richtte zich op computers die Microsoft IIS Web Server draaiden en overlaadde ze zodanig dat alle verkeer stilviel. Nimda ging op hetzelfde pad verder en was zo doeltreffend dat het 22 minuten na zijn eerste melding al het snelst verspreide Internetvirus werd. Klez dat ook in 2001 opdook, maakte gebruik van spoofing om zich als een e-mail van een vertrouwde persoon te vermommen. Het nam allerlei gedaanten aan, zelfs die van een anti-virusprogramma. Blaster en Sasser maakten in 2003 en 2004 gebruik van hetzelfde lek in Windows 2000 en XP om honderdduizenden pc’s te besmetten en computernetwerken lam te leggen. MyDoom was begin 2004 een van de snelst verspreide virussen ooit. Het gebruikte daartoe niet alleen e-mail, maar ook programma’s van het peerto-peer-netwerk KaZaA, en creëerde enorme vertragingen op internet.
10 | INFORMATION SECURITY
De verborgen schade van een co
Af en toe lees je erover in de pers: bedrijf X of Y heeft hackers over de vloer gekregen en is zoveel tien- of hond over directe schade gesproken, maar heel vaak zijn de verborgen letsels veel groter dan de zichtbare. tekst: FRANS GODDEN
E
en paar jaar geleden was het Londense filiaal van een grote Japanse bank het slachtoffer van hackers die keyloggers installeerden in de software van de bank, en op die manier de gegevens konden bemachtigen van consumenten en bedrijven die geldtransacties deden via het SWIFT netwerk. In totaal schreven de criminelen meer dan 400 miljoen dollar over naar rekeningen in het buitenland. Ze werden echter uiteindelijk betrapt en het geld werd gerecupereerd; anders was het een van de grootste bankinbraken in de geschiedenis geweest. Onder het oppervlak Maar dat cijfer is maar een fractie van de schade die de bank had kunnen lijden. Advocatenkosten, overheidsboetes, verstoorde werking, beursverliezen: allemaal aspecten die erbij komen, maar
die uiteindelijk nog verbleken tegenover twee veel zwaardere factoren, met name het verlies van klanten en de schade aan het imago en de reputatie. In sommige sectoren, zoals de bank- en verzekeringswereld, is klantenvertrouwen cruciaal, en als een verhaal in de media over een inbraak laat uitschijnen dat de organisatie in kwestie nogal losjes met klantengegevens omspringt, dan kan de schade aan het imago niet te overzien zijn. Niet dat het financiële plaatje licht moet genomen worden: onderzoek van Forrester Research heeft uitgewezen dat het verlies per bestand al snel kan oplopen van 90 tot 300 dollar. Met andere woorden: het gaat hier om een ernstige inbraak die gemakkelijk miljoenen of zelfs miljarden dollars kan kosten. Eind 2007 maakte TJX, een grote keten van
Security policy moet kern van beveiligingsstrategie vormen
Naast de technische aspecten spelen bij de beveiliging van een bedrijf nog zoveel andere factoren een rol van betekenis dat een bedrijfsleider echt niet meer zonder een degelijk uitgewerkte security policy kan wil hij alles onder controle kunnen houden, ook en vooral op juridisch vlak. tekst: FRANS GODDEN
toegang kan verschaffen tot het bedrijfsnetwerk. Een vaak onderschatte andere interne dreiging zijn werknemers die met opzet bedrijfsinformatie ontvreemden of lekken.’
Gerrit Vandendriessche advocaat-vennoot Altius
“Waar een bedrijf zich terdege van bewust moet zijn, is dat het zowel met externe als interne beveiligingsproblemen te maken kan krijgen’, zegt Gerrit Vandendriessche, ICTadvocaat bij Altius, Belgian ICT Law Firm of the Year in 2008 en 2009. ‘Met de externe gevaren zijn we doorgaans allemaal vertrouwd: virussen, hacking, phishing, noem maar op. Maar vaak zijn de interne dreigingen veel groter dan de externe: werknemers die hun laptops of hun PDA’s verliezen en daardoor niet alleen materiaal maar ook gegevens kunnen kwijtspelen, met het bijkomende risico dat iedereen zich via dat toestel een ongeoorloofde advertentie
Imagoschade Vandendriessche verwijst hier naar de media die in het afgelopen jaar herhaaldelijk over dergelijke “verloren voorwerpen” of datalekken bericht hebben. Hij ziet twee redenen waarom dergelijke feiten vaker het nieuws halen dan vroeger: het feit dat in het bedrijfsleven steeds meer ICT-middelen worden ingezet (laptop, PDA, USB-sticks, thuiswerken, chat, intranet/extranet, sociale netwerken) en dat daardoor ook de impact van beveiligingsinbreuken veel groter wordt. ‘De bedrijven worden zich ook steeds meer bewust van het effect dat zoiets op hun imago kan hebben’, bevestigt hij. ‘En uiteraard ook op hun concurrentiepositie wanneer vertrouwelijke gegevens in handen van de concurrentie vallen; om nog maar te zwijgen van boetes of rechtszaken wegens schending van eventuele confidentialiteitsverplichtingen.’ Helaas is het nog vaak blussen na de brand, een ingreep die zonder uitzondering veel duurder uitvalt
dan preventie. ‘Precies daar kunnen wij een belangrijke rol spelen met advies om dergelijke problemen te voorkomen’, stelt Vandendriessche. ‘Wij kunnen het gebruik van ICT-middelen in een bedrijf in kaart brengen, samen regels en codes opstellen voor dat gebruik, en ook zorgen voor sluitende contracten met leveranciers van oplossingen voor back-up en disaster recovery, want het heeft geen zin de voordeur op slot te doen als je de achterdeur laat openstaan. En uiteraard leveren we ook al het juridische advies daarrond.’ Opletten voor valkuilen Dat laatste is niet te onderschatten als je bijvoorbeeld verplicht bent iemand te ontslaan vanwege ongeoorloofd gebruik van e-mail of internet, want dat kan volgens Vandendriessche echt een hindernissenparcours worden omdat de minste onnauwkeurigheid achteraf in procedures tegen je gebruikt kan worden. ‘Zorg er daarom voor dat je heel duidelijke regels en policies opstelt, zowel voor het gebruik van materiaal als voor e-mail en internet. Let ook op met het monitoren van e-mails of surfgedrag: dat is enkel mogelijk mits de naleving van
een aantal regels. Daarom moeten contracten met zowel werknemers als consultants juridisch goed onderbouwd zijn, want stel dat een werknemer of consultant een bedrijfsgeheim ontvreemdt, dan kan die werknemer of consultant je bewijsvoering trachten te kelderen door een schending van CAO’s of ongeoorloofde verwerking van persoonsgegevens in te roepen al is de rechtbank recent wat milder geworden voor benadeelde werkgevers.’ Een heel apart aspect vormt de keuze van de hardware: brengt de werknemer of consultant zijn eigen laptop of PDA mee of wordt hij verplicht het materiaal te gebruiken dat het bedrijf hem ter beschikking stelt? ‘Kies als bedrijf altijd voor de laatste optie’, beklemtoont Vandendriessche, ‘want dan kun je al een hoop miserie vermijden. Vooral consultants hebben de neiging hun eigen laptops mee te brengen en te gebruiken tijdens hun opdracht, en dat is potentieel toch een gevaarlijke situatie, want als de opdracht beëindigd is, verdwijnt je bedrijfsinformatie ook mee met die laptop. Bovendien weet je nooit of de laptop van de consultant wel voldoende beveiligd is, dus of je
netwerk daardoor niet wagenwijd wordt opengezet. Daarom is het aangewezen werknemers en consultants beveiligd bedrijfsmateriaal te bezorgen dat na gebruik terug huiswaarts komt en vooral kan worden geverifieerd.’
IT samen met management Gerrit Vandendriessche pleit er ook sterk voor om het ICT-departement altijd nauw te betrekken bij de uitwerking en de implementatie van security policies: “ Het zorgt voor inspraak en het verhoogt zeker de efficiëntie achteraf. Het moet wel duidelijk zijn dat IT dit niet alleen kan: IT-mensen hebben de backup nodig van het management en de juridische dienst om een e-mail of een internetpolicy op te stellen. Krijgen ze die niet, dan is de kans groot dat ze zelf op het web zo’n policy gaan zoeken en zonder juridische screening implementeren; met alle risico’s vandien, want heel dikwijls riskeren dergelijke policies dan niet rechtsgeldig te zijn onder Belgisch recht. En tenslotte: een jaarlijkse audit om na te gaan of je beveiliging nog wel “state-of-the-art” is, lijkt zeker ook geen overbodige luxe!’
INFORMATION SECURITY | 11
omputerinbraak Foto: istockphoto.com - mammamaart
derdduizenden gegevens kwijt. Zelden of nooit wordt er
kledingzaken in de VS en GrootBrittannië, bekend dat ruim 45 miljoen klantengegevens gestolen waren (volgens de banken zelfs bijna 100 miljoen). Uiteindelijk stelde TJX voor om bijna 41 miljoen dollar schadevergoeding te betalen voor de illegale betalingen die met de gestolen kredietkaartgegevens waren uitgevoerd. Ook in ons land En de lijst van dergelijke inbraken of lekken wordt steeds langer, ook bij ons. In totaal werden vorig jaar bijna 40 bankrekeningen gehackt, waarbij voor zo’n 165 000 euro werd ontvreemd. Niet alle gevallen werden bekendgemaakt, maar het is wel geweten dat op minder dan een week tijd zowel de website van het Landbouwkrediet als die van Dexia gecompromitteerd werden. En onlangs nog maakte Monster.be, de jobwebsite, bekend dat het begin dit jaar het
slachtoffer geworden was van illegale pogingen om toegang te krijgen tot zijn database. Niks nieuws, overigens, want zowat anderhalf jaar geleden werd de Amerikaanse site van Monster. com ook al gehackt en werden miljoenen vertrouwelijke gegevens van werkzoekenden ontvreemd. Overigens, journalisten van De Standaard kropen in oktober vorig jaar bij wijze van test in de huid van cybercriminelen en hackten met een paar muisklikken het e-mailbestand van de Vlaamse Automobilistenbond (VAB) en van autofabrikant BMW; en ook de website van Promocontrol, het bedrijf dat de verwerking doet van kortingbonnen voor enkele grote Belgische winkelketens. De beveiliging bleek gewoon ondermaats te zijn. De Standaard kreeg enkele dagen geleden navolging toen de makers van het
technologieprogramma Click op de BBC demonstreerden hoe ze op korte tijd controle kregen over bijna 22 000 computers nadat ze via chatrooms op internet de geschikte inbraaksoftware hadden kunnen bemachtigen. Dit gebeurde allemaal met goede bedoelingen uiteraard: de eigenaars van de gehackte computers hebben er alleen een waarschuwing en advies voor de bescherming van hun apparaatuur aan over gehouden. En zelfs de overheid Het kan natuurlijk nog veel erger, als we kijken naar de manier waarop de overheid vaak slordig met haar gegevens omspringt. Zoals in Groot-Brittannië, waar kort na elkaar een laptop van het ministerie van landsverdediging gestolen werd met daarop de gegevens van meer dan 600 000 rekruten. De National Health Service “verloor” twee latops met
ruim 30 000 patiëntendossiers, en de Royal Air Force speelde drie USB-harde schijven kwijt met daarop de gegevens van 50 000 militairen. Of wat te denken van de politie van New York waar een personeelslid maar liefst de persoonlijke gegevens van 80 000 politiemensen wist te ontvreemden. Misschien nog een stevig cijfer om af te ronden: de Association of Certified Fraud Examiners in de VS heeft op basis van ingezamelde cijfers uit 959 fraudegevallen berekend dat vorig jaar in de Verenigde Staten alleen meer dan 900 miljard dollar verloren is gegaan door fraude en ongeoorloofd gebruik van computergegevens.
Maximale mobiliteit dankzij USB-stick Dat sluitende beveiliging niet altijd superingewikkeld hoeft te zijn, bewijst de oplossing die bij SAX Sanitair geïmplementeerd werd: een USB-identificatiestick die elke werknemer in staat stelt om overal veilig te werken. tekst: FRANS GODDEN
Bart Declercq
IT MANAGER BIJ SAX
“Onze beveiliging sluit als een bus” advertentie
S
AX Sanitair is een groothandel in sanitair, verwarming, ventilatie, wellness en duurzame energiesystemen, met een achttal vestigingen in West- en Oost-Vlaanderen en een tweehonderdtal medewerkers die een omzet realiseren van meer dan 50 miljoen euro. Door zijn snelle expansie was SAX op zoek naar een schaalbare en beveiligde oplossing om zijn erg gedecentraliseerd serverpark te consolideren en tegelijkertijd de mobiliteit van zijn werknemers te verhogen, met inachtneming van een maximale beveiliging. ‘Zowat een derde van onze mensen zijn erg mobiel (bij klanten en partners), en voor hen zochten we een oplossing die hen in staat zou stellen om op een veilige manier ook buiten de bedrijfsmuren
te werken alsof ze vast op ons bedrijfsnetwerk zaten’, zegt Bart Declercq, IT-manager bij SAX. ‘Bovendien wensten we ook kleine sites snel up and running te hebben zonder nog lokaal software en hardware te moeten onderhouden.’ Hot desking SAX deed daarvoor een beroep op e-BO Enterprises uit Ieper dat zijn sporen al verdiend had in de industriële wereld en ook ervaring had in technologieën voor datacenters, onder meer met eigen beveiligingsoplossingen. Het bedrijf werkte een concept uit waarbij alle dataverwerking gecentraliseerd werd in het beveiligde datacenter van Colt Telecom in Nossegem, met in de vestigingen enkel nog een thin
client die via MPLS-, ADSL- of Telenetlijnen verbonden wordt met het bedrijfsnetwerk. Alles draait op de centrale servers – dus zonder lokale support – wat uiteraard heel wat druk wegneemt van de ITmensen bij SAX. Elke werknemer van SAX heeft bovendien een USB-stick waarmee hij gelijk waar kan aanloggen op het netwerk. En meteen heeft hij ook geen behoefte meer aan een vaste zitplaats, wat SAX in staat stelt hier het concept van “hot desking” toe te passen naar het voorbeeld van vele grote multinationals. Nooit dataverlies ‘Onze beveiliging sluit als een bus’, zegt Bart Declercq. ‘Zelfs als iemand zijn USB-stick zou verliezen, is dat nog geen probleem – zonder de bijhorende code is die stick toch
waardeloos. De werknemer neemt gewoon een andere stick, voert zijn code in, en kan weer aan de slag. En er is ook geen behoefte aan laptops met bedrijfsinformatie die verloren kan gaan, want elke terminal is geschikt, ook voor werken van thuis uit’. Na de consolidatie van het dataverkeer is bij SAX thans de telefonie aan de beurt - er wordt nu een volledige Voice over het IP-netwerk uitgerold, waardoor werknemers nog vlotter bereikbaar zullen zijn, want op elke werkplaats hebben ze na het aanloggen met hun USBstick meteen ook hun persoonlijk telefoonnummer ter beschikking. En voor de nabije toekomst is ook nog videofonie voorzien, met Webcams.
12 | INFORMATION SECURITY
Wapen jezelf voor je online gaat shoppen
9
De gevaren op internet zijn voor de consument de laatste jaren enorm toegenomen. Cybercriminelen blijken het daarbij vooral op creditcard- en bankgegevens te hebben gemunt. ‘De enige afdoende manier waarop je jezelf als eindgebruiker momenteel kunt wapenen, is door je pc stevig te beveiligen met de nodige software’, vertelt Christel Van der Perre, Associated Channel Marketing Manager Belux bij Symantec.
Tips voor veilig internetshoppen
tekst: Barbara Vandenbussche
Internet is het paradijs voor koopjesjagers. Winkelen gaat er snel, eenvoudig en efficiënt. Maar waakzaamheid is steeds aangeraden. Christel Van der Perre geeft enkele basisregels die u het best toepast als u online iets koopt. In een winkel geeft u toch ook niet uw bankkaart én uw code aan de verkoper?
1
Zorg er om te beginnen voor dat al uw software en vooral uw beveiligingspakket up-to-date en geactiveerd is.
2 3 “Gegevens kraken is niet langer het werk van een eenzame puber op zijn kamertje.” Foto: istockphoto.com -Phatscrote
Christel Van der Perre
ASSOCIATED Channel marketing manager belux - consumer division symantec
S
ymantec, dat zelf onder meer het beveiligingspakket Norton op de markt brengt, voert twee keer per jaar onderzoek uit naar trends en evoluties in de wereldwijde internetomgeving. ‘Een opvallende vaststelling die we deden, is dat cybercriminelen op één jaar tijd voor maar liefst 7 miljard dollar aan creditcard-
en bankrekeninggegevens van consumenten op internet te koop aanboden’, vertelt Christel Van der Perre. ‘Gegevens kraken is dus niet langer het werk van een eenzame puber op zijn kamertje, maar is big business: cybercriminelen bedienen een hele ondergrondse economie met een goed geolied netwerk van aanbieders, kopers, adverteerders, tussenpersonen,Ahelpdeskmedewerkers, enzovoort. Meer en meer neemt cybercriminaliteit ook persoonlijke vormen aan: meer dan de helft van de gestolen goederen die cybergangsters aanbieden, bestaat uit financiële gegevens. De gegevens van een creditcard kunnen hen, afhankelijk van de waarde ervan, van 0,10 tot 25 dollar opleveren. De potentiële waarde van alle gestolen creditcardgegevens die door de ondergrondse economie worden aangeboden, bedraagt daarmee maar liefst 5,3 miljard dollar. Voor gestolen bankrekeninggegevens die via internet te koop zijn, is dat 1,7 miljard dollar.’
wordt het bovendien makkelijker om criminele tactieken toe te passen, stelt Van der Perre. ‘Op internet worden momenteel doehet-zelf-kits aangeboden die criminele tactieken zoals phishing toegankelijk maken voor iedereen die over een computer en een inte rnetverbindingabeschikt. Phishing houdt in dat men gebruikers van internetbankieren een valse email stuurt die van de bank lijkt te komen. Daarin vraagt men de inloggegevens in te vullen om te bevestigen. Het is heel belangrijk hier nooit op in te gaan. Naar websites van online winkels ga je ook het best door het adres rechtstreeks in de browser in te typen. Een link in een e-mail kan er bonafide uitzien, maar je toch naar een nepsite leiden.’ Vooraleer je in een webwinkel je login en inlognummer ingeeft, kun je ook altijd verifiëren of het om een beveiligde website gaat. Die moet beginnen met https:// (de s is van security), en rechts onderaan moet een hangslot te zien zijn.’ De nieuwste pakketten houden niet alleen alle gevaren buiten, maar Nepsites tonen ook of je op de juiste website Voor “nieuwkomers” die zich willen zit, en niet op een nagemaakte. toeleggen op gegevensdiefstal Voor de gewone consument
lijkt dit alles een ver-van-mijnbedverhaal, omdat hij of zij niets merkt van wat er gebeurt. Maar net dat is de sterkte van de cybercriminaliteit: werden virussen vroeger geschreven om zo snel mogelijk zoveel mogelijk schade toe te brengen en zo faam te verwerven in het wereldje, tegenwoordig moeten ze zich net zo geruisloos mogelijk in je pc nestelen. ‘Om stiekem aan persoonlijke gegevens te kunnen geraken, is het uiterst belangrijk dat de getroffen computereigenaar geen argwaan koestert en vooral gewoon verder werkt’, legt Christel Van der Perre. ‘Maar je belangrijkste wapen om jezelf en je persoonlijke gegevens te beschermen, blijft de aanschaf van een volledig beveiligingspakket voor pc en internet. Dat pakket aankopen, helpt je al heel wat vooruit, maar je moet ook zorg dragen voor regelmatige updates. De cyberwereld evolueert immers voortdurend en is professioneler geworden bij het ontwikkelen van nieuwe bedreigingen; en softwaremakers zijn erop getraind die evoluties op de voet te volgen en zelfs een stap voor te zijn.’
Koop bij voorkeur op websites die u kent of die een goede faam hebben.
Controleer of de pagina waarop u uw persoonlijke gegevens en bankinformatie invult, beveiligd is. Het webadres moet beginnen met “https” en niet met “http”, en rechtsonder in het browservenster moet u het icoontje van een gesloten hangslot zien.
4
Klik nooit op links in een email om toegang te krijgen tot een website, maar voer altijd het adres van een website bovenaan in het browservenster in.
5
Laat u niet vangen door ongelooflijke “superkoopjes”. Een handtas of een horloge van een wereldberoemd merk voor 100 euro bestaat gewoonweg niet en is reden genoeg om wantrouwig te zijn.
6
Controleer regelmatig de afschriften van uw kredietkaart. Let vooral op kleine bedragen die van uw rekening gaan. Cybercriminelen testen altijd eerst met kleinere sommen of ze een goede vis aan de haak hebben geslagen. Een goede bescherming betekent ook:
7 8 9
nooit een wachtwoord in een webbrowser opslaan;
innen als wachtwoord gebruiken, in plaats van één enkel woord; bijvoorbeeld: erwaseenslanggeleden; en nooit bankgegevens versturen per e-mail: emails zijn als briefkaarten die u zonder envelop verstuurt: iedereen kan ze lezen.
INFORMATION SECURITY | 13
BeCommerce-label moet e-shopper vertrouwen schenken
In alle veiligheid transacties doen, is de hoeksteen van elektronische verkoop. ‘BeCommerce’ wil dé vertrouwensstempel bij uitstek op Belgische e-commerce websites worden. ‘BeCommerce staat voor een kwaliteitsgarantie’, legt managing director Marc Périn uit. tekst: Johan Dillen
Marc Périn
Directeur bECOMMERCE
D
e vzw BeCommerce is ontstaan in de schoot van de BDMA, de Belgian Direct Marketing Association. Door de boom van verkoop op afstand, groeide de nood aan een onafhankelijke organisatie die garant zou staan voor veiligheidsen privacyvereisten, waardoor de consument zich in veilige handen moet voelen bij zijn aankoop. BeCommerce verenigt bedrijven die in België producten of diensten aan consumenten verkopen via
“ We moeten drie vertrouwensproblemen het hoofd bieden bij e-shopping’, volgens Périn. ‘Er is de veiligheid bij het betaalverkeer, de onzekerheid over de correcte afhandeling van de transactie en het algemene vertrouwen dat de consument heeft in het bedrijf achter de website. BeCommerceleden moeten de gedragscodes van zowel de BDMA als onze eigen gedragscode onderschrijven. Ze omvatten onder meer regels rond het product en zijn prijs; de levering van het goed; een privacygarantie voor de consument en een beschermingsclausule voor minderjarigen.’
voorzichtigheid die de consument aan de dag moet leggen. ‘Je loopt toch ook niet zomaar met de inhoud van je portefeuille open en bloot op straat? Datzelfde geldt ook voor internetbetalingen. De “zorgvuldige huisvaderapproach” moet de norm zijn: weet wat je koopt en waar je het koopt. In se zijn kredietkaarten niet ontwikkeld voor het huidige gebruik op internet, maar veel ecommerce-handelaars bieden ook alternatieve betalingsfaciliteiten aan.’
AWARDS Dat andere vertrouwenselement, het bedrijf dat achter de e-commerce website schuilt, wil BeCommerce helpen stimuleren door de uitreiking van de BeCommerceawards. ‘We reiken elk jaar awards uit voor diverse websites in verschillende domeinen. Zo willen we de uitblinkers belonen en meer bekendheid bezorgen.’ Dat de eigen bekendheid van BeCommerce nog beter kan, geeft Périn grif toe. ‘Maar het was onze keuze om eerst Wat de veiligheid van het betaal- het label voldoende sterk te maken. verkeer betreft, benadrukt Périn de Werken aan de bekendheid is een
Foto: istockphoto.com -nmaxfield
internet, catalogus, post, enzovoort. Deze bedrijven zijn lid van de vzw BeCommerce, respecteren de Gedragscode van het Belgisch Direct Marketing Verbond (BDMV) en aanvaarden de uitspraken van het Comité van Toezicht van het BDMV dat optreedt in geval van geschillen tussen consumenten en bedrijven.
stap waar we nu meer aandacht aan zullen geven.’ De erste tekenen zijn reeds hoopvol. ‘We krijgen veel vragen van bedrijven die in België een e-shop willen openen over het hoe en wat, en klanten contacteren ons met hun klachten, waardoor wij kunnen bijsturen.’
bijgebeend. Niet alleen krijg je de jongeren die het gewoon zijn om via het net te shoppen, maar ook veel ouderen die kunnen omgaan met computers zullen meer elektronisch shoppen naarmate ze meer tijd krijgen om hun hobby’s in te vullen.’
Périn voorspelt nog een grote groei www.becommerce.be in e-commerce activiteiten. ‘België www.becommerceawards.be had achterstand, maar heeft die
Ziekenhuizen kunnen op veilig spelen dankzij barcodes
Soms hoor of lees je verhalen over patiënten die per vergissing in een ziekenhuis het verkeerde geneesmiddel toegediend kregen, al dan niet met nefaste afloop. Toch kunnen dergelijke fouten gemakkelijk vermeden worden, op voorwaarde dat men gebruik maakt van barcodes waar alle informatie over patiënt èn geneesmiddel correct en veilig in opgeslagen zit. tekst: FRANS GODDEN
Etienne Boonet
Algemeen Directeur GS1 Belgie en luxemburg
B
arcodes zijn een kolfje naar de hand van GS1, een wereldwijde organisatie die zich bezighoudt met het ontwerpen en toepassen van standaarden voor supply chains in alle mogelijke sectoren. Zo zijn de barcodes die je in supermarkten en grootwarenhuizen vindt, doorgaans van de hand van GS1, en ook in logistieke ketens worden die standaarden gebruikt om de doorloop van producten op te volgen. Aan het bed ‘Onze standaard is echter ook zeer belangrijk in de gezondheidssector’, zegt Etienne Boonet, algemeen directeur GS1 België en Luxemburg. ‘In ziekenhuizen is het immers van cruciaal belang
dat de patiënt de juiste medicatie krijgt, en daartoe moet je aan het bed van de patiënt het geneesmiddel dat je gaat toedienen via een barcode kunnen identificeren. Speciaal daarvoor hebben wij de DataMatrix ontwikkeld om alle vergissingen uit te sluiten: een barcode waarin informatie zit over het geneesmiddel zelf, met eventueel lotnummers; houdbaarheidsdatum; het RIZIV-nummer dat nodig is voor de terugbetaling; enzovoort.’ Uiteraard vereist dat ook wel de nodige technische infrastructuur in het ziekenhuis. Ideaal is dat de uitleesapparatuur beschikbaar is aan het bed, met een draadloze connectie naar het voorschrift van de geneesheer zodat men zeker is dat de arts inderdaad dit geneesmiddel voorgeschreven heeft voor die patiënt. ‘Zo kun je op een eenduidige manier zowel de patiënt als het geneesmiddel identificeren en een link maken naar de software die het geneesmiddel vergelijkt met het voorschrift van de dokter’, aldus Boonet. Barcode op RFID GS1 ziet hier een duidelij-ke beveiliging sopdracht: het juiste product voor de juiste patiënt in de juiste dosis op het juiste
moment bezorgen met behulp van automatische identificatietechnologie onder de vorm van barcode of RFID (radio frequency identification). ‘RFID is duidelijk aan zijn opmars begonnen, maar het probleem is het kostenplaatje: de tag is altijd duurder dan barcode’, legt Etienne Boonet uit. ‘En er is nog een ander probleem: soms treedt er interferentie door ijzer en water op, en om al die interferenties te vermijden, moet je dure tags hebben. Maar voor ons maakt het niet uit of je onze standaard in een DataMatrix gebruikt of in een RFID-omgeving: het is transparant. Wij maken zelf die keuze niet, wij geven wel advies over waar je op moet letten als je voor RFID of barcode kiest.’ Standaarden als die van GS1 (eigenlijk een vzw) kunnen ten slotte ook helpen om namaakmedicijnen op te sporen en te ontmaskeren vooraleer ze de supply chain van de gezondheidszorg kunnen binnendringen. Dit is toch een belangrijke taak als je weet dat zowat 10 procent van de wereldmarkt voor geneesmiddelen uit waardeloze namaak bestaat en goed is voor meer dan 30 miljard dollar.
advertentie
VOORKOM
MEDISCHE FOUTEN ! Elke dag nog sterven mensen aan medische fouten. Meestal zouden die kunnen vermeden worden. De medische sector kenmerkt zich door complexe processen waarin de correcte en globale identificatie en tracering van mensen, geneesmiddelen en apparatuur centraal staan. Enkel zo wordt het juiste geneesmiddel toegediend, aan de juiste patiënt, op het juiste tijdstip, in de juiste dosering. Patiëntveiligheid is ook een zaak van authenticiteit. Zijn die pillen die via website X aangeboden worden echt of namaak? Waarom GS1 ? GS1 Belgium & Luxembourg brengt alle betrokken partijen – hospitalen, apotheken, logistieke dienstverleners, solution providers, autoriteiten, … - rond één tafel en reikt globale en gemeenschappelijke standaarden en oplossingen aan. GS1 Belgium & Luxembourg, VZW met zetel te Brussel, is lid van de wereldwijde GS1 organisatie.
Meer info? www.gs1belu.org
14 | INFORMATION SECURITY
Minister Vincent Van Quickenborne:
De elektronische factuur kan enorme besparingen opleveren
Vincent Van Quickenborne neemt zijn taak als Minister voor Ondernemen en Vereenvoudigen heel letterlijk: hij wil documentenstromen maximaal vereenvoudigen door zoveel mogelijk papieren documenten te vervangen door elektronische; te beginnen met facturen, want daar liggen enorme besparingen zo maar voor het grijpen, stelt hij. tekst: FRANS GODDEN
“Je kunt flink wat winst maken door alles elektronisch te doen.” Vincent Van Quickenborne
MINISTER VOOR ONDERNEMEN EN VEREENVOUDIGEN
D
e minister is niet aan zijn proefstuk toe: hij was al eerder, van 2003 tot 2007, Staatssecretaris voor Administratieve Vereenvoudiging. ‘In die periode hebben we een wet gemaakt om een wettelijk kader te creëren voor de elektronische factuur’, legt hij uit. ‘De wet werd op 1 januari 2004 van kracht, maar om ook bewijskracht te kunnen geven aan de stukken, was een circulaire nodig vanuit de administratie financiën. Die is er vorig jaar dan gekomen zodat er nu meer rechtszekerheid is.’ De papieren gewoonte En toch blijven de bedrijven aarzelen om hun papieren factuur door een elektronische te vervangen. ‘De belangrijkste reden is volgens mij dat zij nog veel te weinig vertrouwd zijn
met het papierloos kantoor en puur uit gewoonte blijven verder werken met papier’, stelt Van Quickenborne. ‘Grote bedrijven die met professionele klanten werken zoals de distributiesector, eisen al wel dat hun leveranciers elektronisch factureren. Maar naarmate je afdaalt in de keten en naar de kleinhandel gaat, kom je in een totaal andere omgeving waar vooral naar de kosten gekeken wordt.’ Veel bedrijven kijken inderdaad op tegen de opstartkost, ‘maar die verdwijnt op termijn volledig omdat je flink wat winst kunt maken door alles elektronisch te doen’, beklemtoont Van Quickenborne. En hij verwijst daarbij naar een studie van een Nederlands consultancybureau waaruit gebleken is dat een
papieren factuur, inclusief de advertentie postzegel, de behandeling en ook de archiefruimte 4 euro per stuk kost tegenover 1 euro voor de elektronische. ‘Als je er dan vanuit gaat dat de bedrijven per jaar een miljard facturen opstellen, dan kun je al snel een paar miljard euro besparen.’ Nieuw burgerloket Hij wil ook de interactie tussen de overheid en de burger fel vereenvoudigen. ‘Een paar maanden geleden hebben we al de nieuwe site Belgium.be gelanceerd, die veel meer gefocust is op de noden van de burgers. En we werken nu aan een interactieve module, een soort elektronisch burgerloket dat er zoveel mogelijk moet voor zorgen dat mensen zich niet meer hoeven te verplaatsen naar het gemeentehuis, en dat ze 24 uur op 24 en 7 op 7 elektronisch transacties kunnen doen met de overheid. Op termijn moet dat loket kunnen gebruikt worden voor een adreswijziging, een geboorteaangifte, noem maar op. Dat burgerloket wordt in de komende maanden gelanceerd, met een centrale rol daarin voor de elektronische identiteitskaart die overigens vanwege van haar eenvoud in het gebruik en haar beveiliging in toenemende mate ook door privéspelers als fitnessclubs of videotheken gebruikt wordt.’
E-citizen Singapore
8
Weg met de loketten tekst: Johan Dillen
D
e burger die zowat al zijn communicatie met de overheid van achter zijn PC kan doen. In ons land nog ver verwijderd, maar in Singapore hoort dit al tot de dagdagelijkse realiteit.
Singapore staat al een hele stap verder in e-governement, en heeft daar niet eens een elektronische identiteitskaart voor nodig. Elke inwoner van Singapore kan een ‘SingPass’ aanvragen, een uniek paswoord dat samen met het nummer van de identiteitskaart toegang verschaft tot de diensten op een portaalsite die de overheid openhoudt.
De portaalsite omvat diverse luiken waar de inwoners terecht kunnen. De communicatie met de overheid omvat onderdelen die we hier ook kennen, zoals de elektronische belastingaangifte, maar je kan
bijvoorbeeld ook elektronisch je boetes betalen Singapore heeft een zeer uitgebreid boetesysteem of de verkeersbelasting. Betalen verloopt via een kredietkaart, online bankieren of FlexiPay, waarbij je de overheid de toestemming geeft de verschuldigde som van je bankrekening te halen. Daarnaast kan je elektronische verwittigingen ontvangen wanneer het tijd is om een nieuwe identiteitskaart af te halen, maar ook wanneer je bibliotheekboeken over tijd zijn. Het e-citizen portaal is sinds 1999 in gebruik, en in de loop van de jaren uitgegroeid naar een breed maatschappelijke website die de inwoners antwoorden op zoveel mogelijk vragen wil bieden. Zo kan je naast een doktersbezoek online vastleggen ook courante medicijnen aanschaffen via de site. Die worden dan thuis geleverd. Ook kan je via de
Hoe e-citizen het leven vereenvoudigt
1
Via de site kan je zelf aangifte doen van een klein misdrijf zonder naar de politie te moeten trekken.
site een maandabonnement betalen bij enkele parkings in plaats van elke dag naar de meter te hoeven lopen. Een andere bedoeling van het portaal is zoveel mogelijk overheidsinformatie te bundelen op één plek, wat de zoektocht voor de Singaporezen aanzienlijk moet vereenvoudigen. Die omvat de meest diverse luiken, waaronder cultuur en sport, maar ook alle info voor het gezine, tot zelfs een online datingservice toe. Een aantal van die diensten vind je bij ons ook al, maar niet gebundeld op één site.
2
Je kunt online een job zoeken via de databank met vacatures van zowel privébedrijven als de overheid.
3
Boek bijvoorbeeld je badmintonterrein van thuis uit, of bekijk de catalogus van de nationale bibliotheek online.
4
Maak een afspraak met een arts of een ziekenhuis van de National Healthcare Group of de Singapore Health Services Group.
5
Check of je in aanmerking komt voor een sociale woning. De site bevat ook alle contacten die je nodig hebt voor de aansluiting van water, elektriciteit, gas en de verhuisdienst van de post.
6
Bekijk de stand van zaken van je opgebouwde pensioenrechten.
7 8
Vraag online je handelsvergunning aan.
Alle formaliteiten voor de legerdienst kun je achter de computer afhandelen.
INFORMATION SECURITY | 15
Een veilig loket via internet Het gebruik van internetbankieren is in talrijke huiskamers reeds een gewoonte geworden. Toch horen we in het nieuws vaak verhalen over hackers, phishing en andere malafide praktijken. Hoog tijd dus om eens te informeren naar de veiligheid van het virtuele bankloket. tekst: Barbara Vandenbussche
‘In juni vorig jaar zijn we overgeschakeld naar een nieuwe internetsite, waarbij we ook de veiligheid meteen een nieuwe boost hebben gegeven’, vertelt gedelegeerd bestuurder Marc Van der Schueren. ‘Het oude, statische systeem met vaste codes is nu vervangen door een UCR of Unconnected Card Reader, wat veel dynamischer is en dus ook veiliger. Wie nu wil aanloggen op het systeem, moet zijn debetkaart in de lezer plaatsen om zich te identificeren. Na het ingeven van de pincode genereert het systeem een eenmalige code, die slechts bij deze ene aanlogsessie geldig is. We hebben daar bovendien nog een handtekening aan toegevoegd. Wanneer je een transactie doet zoals een overschrijving, of je voegt een nieuwe begunstigde toe, moet je “ondertekenen” met een code die door hetzelfde toestel wordt gegenereerd.’
dus op een heel andere manier moeten leren werken, al blijken ze er tot nu toe in het algemeen erg snel mee weg te zijn. ‘We hebben een compromis moeten sluiten tussen beveiliging en gebruiksgemak’, stelt marketing manager Xavier Dumon. ‘Het systeem vraagt bijvoorbeeld zelf wat er moet ingegeven worden, wat het duidelijker maakt voor de klant. De meeste mensen waren er na de eerste of tweede keer mee weg. Op onze site staat nog steeds een demo voor wie graag alle mogelijkheden nog even bekijkt.’
De veiligheidsoplossing waar Bank van de Post gebruik van maakt, wordt meer en meer de standaard in de markt. Zowat alle grote banken passen dit systeem reeds toe, en vroeg of laat zal het overal verspreid zijn. Gebruikers van internetbankieren zullen
‘Dat de UCR internetbankieren van een extra veiligheid voorziet, betekent geenszins dat banken en consumenten nu niet meer waakzaam moeten zijn’, benadrukt veiligheidsadviseur Sacha Heinen. ‘We staan vanuit technisch standpunt heel ver, maar ook
“We hebben een compromis moeten sluiten tussen beveiliging en gebruiksgemak”
hackers ontwikkelen zich verder. Het zwakke punt ligt op dit moment bij de eindgebruikers. Malware is snel binnengehaald. Daarom is het belangrijk dat consumenten hun eigen pc beveiligen, met antivirus, firewall, antispyware, antispam, … Men moet zich ook bewust zijn van de gevaren op internet: niet elke site is veilig, en je kunt niet zomaar bestanden uitwisselen of downloaden. Phishing, valse e-mails sturen om naar codes te vragen, komt ook veel voor. We raden mensen aan niet te reageren op zaken die ze niet verwachten tijdens een traditionele sessie. Tot slot moet je bij het bankieren goed beseffen dat je bezig bent met een transactie, en je moet je dus bewust zijn van wat je op dat moment doet.’
“Een extra veiligheid betekent geenszins dat banken en consumenten nu niet meer waakzaam moeten zijn”
Foto: istockphoto.com - Kativ
advertentie
Foto: istockphoto.com -Kativ
De bank anti-risico’s
Je moet het proberen
www.bpo.be
De Post NV van publiek recht (Muntcentrum, 1000 Brussel), is agent in bank- en beleggingsdiensten, verzekeringstussenpersoon (CBFA 25.275 cA-cB) voor Bank van De Post NV (Anspachlaan 1, 1000 Brussel, BTW BE 0456.038.471 RPR Brussel, BIC BPOTBEB1 IBAN BE49 0000 0007 5071) erkend als verzekeringstussenpersoon onder CBFA-nr. 016290A.