Internetsecurity Veilig gebruik van internet in kleinere organisaties Alexander Overdiep voor OPR/Advies partner 404-network Independent eStrategy Specialists
Competence Center
Doelstelling Eerste hoofddoel van deze sessie is (aspirant) ondernemers in kleine organisaties zicht te geven op de voornaamste risico’s die het gevolg zijn van zakelijk gebruik van internet, zowel bij het inwinnen van informatie, als bij het uitvoeren van (betaal-)transacties.
OPR/Advies partner 404-network Independent eStrategy Specialists
2
Tweede hoofddoel is (aspirant) ondernemers op een eenvoudige manier een handvat te bieden voor het zelfstandig nemen van maatregelen om het effect van beveiligingsrisico’s te verkleinen.
Opzet
OPR/Advies partner 404-network Independent eStrategy Specialists
3
Hoofdbegrippen • Veilig, veiligheid en beveiliging 7 plagen Privacy • Virussen Fraude en e-commerce • Hacking Ongewenste beelden • Spam • Verslaving Versleuteling • public key infrastructure
Begripsaspecten
OPR/Advies partner 404-network Independent eStrategy Specialists
4
veilig, veiligheid en beveiliging • ‘beschermd’, ‘buiten gevaar’, ‘verzekerd tegen aantasting’ • ‘beschermd’ is door ons afgeschermd’, • ‘buiten gevaar’ is onbevattelijk voor bedreigingen van buitenaf, • ‘verzekerd tegen aantasting’ is beschermd door maatregelen. • voorzien van maatregelen voor veilig beheer
Veilig
OPR/Advies partner 404-network Independent eStrategy Specialists
5
Conclusie •‘Veilig’ als begrip roept altijd emoties op, die te maken hebben met: • praten over veiligheid gaat vooral over onveiligheid • het komt van buiten • wijzelf kunnen of moeten er iets aan of tegen doen • maatregelen zijn nodig: • dan pas ontstaat echte ‘veiligheid’
Veiligheid Veiligheid (formeler) is : • het zorgen voor en in standhouden van een toestand waarin iets veilig is of kan zijn en waarin gevaar wordt voorkomen.
• Veiligheid is de zorg voor een systeem of
OPR/Advies partner 404-network Independent eStrategy Specialists
6
werksituatie waarin door maatregelen de voortgang van het proces/de werkzaamheden verzekerd is tegen onbedoelde en ongewenste beïnvloeding van binnen- en/of van buitenaf.
Veiligheid Kenmerk van veiligheid is tweezijdigheid of tweerichtingsverkeer en heeft in het zakelijk verkeer te maken met: • apparatuur (bijv PC’s en andere hardware) • grondstoffen en software • infrastructuur • gebruiksvoorschriften en werkafspraken • gedrag van gebruikers OPR/Advies partner 404-network Independent eStrategy Specialists
7
Veilig internet Afhankelijk van componenten: • veilige ‘computersystemen’ bij
• gebruiker van informatie of diensten, • aanbieder van informatie of diensten èn • internetprovider
OPR/Advies partner 404-network Independent eStrategy Specialists
8
• veilige software bij gebruiker èn bij aanbieder • veilige infrastructuur in het gehele traject; • veilige documenten en diensten èn • veilig gedrag van de internet-eindgebruiker.
Verantwoordelijkheid De verantwoordelijkheid voor veilig internetten ligt gezamenlijk bij: • aanbieder van internettoegang, • aanbieder van internetinformatie en/of internetdiensten • eindgebruiker van internet
OPR/Advies partner 404-network Independent eStrategy Specialists
9
Verantwoordelijkheidsdomeinen • B2C • B2B • G2B, G2C, C2G èn B2G
Verantwoordelijkheid 2 Beveiligingsrisico’s groeien door ontwikkeling technologieën; CERT’s zien problemen.
OPR/Advies partner 404-network Independent eStrategy Specialists
10
Computable 15 maart 2002
Verantwoordelijkheid 3 Belang van beveiliging als basis voor vertrouwen voor e-business en e-government dringt ook door tot de publieke sector èn tot de vakpers AG Webeditie 19 maart 2002
Computable 22 maart 2002 OPR/Advies partner 404-network Independent eStrategy Specialists
11
Verantwoordelijkheid 4 Belang van beveiliging dringt ook door tot de grote softwareproducenten èn tot de consumentenpers
14 januari 2002
OPR/Advies partner 404-network Independent eStrategy Specialists
12
Praktijkondersteuning Beveiliging Handig en actueel boekje gericht op PC-gebruiker in privé- en werksituatie (kleinzakelijke omgeving) met praktische tips en zinvolle achtergrondinfo
OPR/Advies partner 404-network Independent eStrategy Specialists
13
Uitg. Pearson Education door Victor Peters verschenen 2002 EUR 14,95
Bedrijfsschade • Ruim 80% bedrijven heeft in 2001 te maken gehad met virussen e.d. (gelijk verdeeld over MKB en grootbedrijf)
• Virussen via e-mail 88%
• Virussen via downloads 25% • Virussen via diskettes e.d. 12%
• Virusscanners vangen 75% • Geen directe financiële schade bij 75% • Schade 2e halfjaar 2001 OPR/Advies partner 404-network Independent eStrategy Specialists
14
schatting 0,8 miljard EUR Bron:Intomart, 2002
Gevolgen virusschade Stilstand e-commerce
OPR/Advies partner 404-network Independent eStrategy Specialists
15
5%
Beschadiging hardware Verminderd bereikbaar intern
11 %
Verminderd bereikbaar klanten
15 %
Verdwijnen bestanden
20 %
Overig
28 %
Beschadigen bestanden
31 %
Vastlopen computer
41 %
Vreemde meldingen
43 %
Bron:Intomart, 2002
11 %
Rol overheid De overheid ziet voor zich zelf geen directe uitvoerende taak op het gebied van veiligheid van internet De overheid richt zich op randvoorwaardenbeleid De overheid ziet wèl een taak voor marktpartijen en gebruikersorganisaties OPR/Advies partner 404-network Independent eStrategy Specialists
16
Overheidsbeleid Beleidsvoornemens zijn vastgelegd in Kabinetsnota “Kwetsbaarheid op internet” van juni 2001 Nog niet besproken in de Tweede Kamer OPR/Advies partner 404-network Independent eStrategy Specialists
17
Veilig internet Overheidsbeleid op het gebied van veilig internet heeft 3 aandachtsgebieden: • Exclusiviteit bescherming tegen onbevoegde kennisname;
• Integriteit bescherming tegen verminking of wijziging van gegevens door onbevoegden;
• Beschikbaarheid OPR/Advies partner 404-network Independent eStrategy Specialists
18
zekerstelling dat informatie en essentiële diensten op noodzakelijke momenten beschikbaar zijn.
Risicogebieden en veiligheidsaspecten van internetgebruik
OPR/Advies partner 404-network Independent eStrategy Specialists
19
Zeven plagen Veiligheidsproblematiek rond internet-gebruik is terug te voeren tot zeven ‘plagen’:
• Virussen • Privacy-inbreuk • Hacking • Fraude bij bestellen / betalen • Ongewenste confrontaties • Ongewenste reclame (SPAM) • Verslaving OPR/Advies partner 404-network Independent eStrategy Specialists
20
Virussen
(definitie)
Virussen zijn: • zelfstandig werkende programma’s, • die meestal verborgen zitten in of aan een document, • die ontvangen worden via een diskette, per e-mail of via een website • en de inhoud van de PC verminken, • of zelfstandig opdrachten uitvoeren zoals mailberichten samenstellen en verzenden OPR/Advies partner 404-network Independent eStrategy Specialists
21
Virussen: remedie Beste remedie is gebruik van een anti-virusprogramma en dit met grote regelmaat actueel houden. • sommige programma’s zijn gratis; • sommige programma’s kosten geld (ca 50 Euro) • Abonnement voor actualisering kost ca $ 10/jaar OPR/Advies partner 404-network Independent eStrategy Specialists
22
Virussen: remedie 2 • Kies een goed programma voor uw e-mail (de meestgebruikte programma’s zijn niet vanzelfsprekend de beste);
• Handel de e-mail niet af in een browserprogramma voor het bezoeken van het WWW;
• Laat een verbinding met de provider niet onnodig lang openstaan, ook al is er bijv. een ‘goedkope’ ADSL-verbinding. OPR/Advies partner 404-network Independent eStrategy Specialists
23
Virussen: informatie
OPR/Advies partner 404-network Independent eStrategy Specialists
24
Virus en antivirus-informatie op het web: • antivirus.pagina.nl • www.virusalert.nl • www.surfopsafe.nl • computerbeveiliging.pagina.nl • www.sif.nl • www.security.nl • www.symantec.nl • www.mcafee.nl
Privacy inbreuk • Privacy is het recht op bescherming van de persoonlijke levensfeer.
• In Nederland geregeld via de Wet Bescherming Persoonsgegevens
• Toezicht wordt uitgevoerd door het College Bescherming Persoonsgegevens (vroeger de Registratiekamer) OPR/Advies partner 404-network Independent eStrategy Specialists
25
Privacywetgeving
OPR/Advies partner 404-network Independent eStrategy Specialists
26
Hoofdlijnen van de wet: • Persoonsgegevens mogen verzameld worden, mits: • het bestand is aangemeld bij het College Bescherming Persoonsgegevens • het bestand een duidelijk omschreven doelstelling heeft • de geregistreerde ondubbelzinning instemt met opname in bestand • de geregistreerde zijn/haar gegevens kan inzien/wijzigen/verwijderen
Privacy inbreuk
OPR/Advies partner 404-network Independent eStrategy Specialists
27
Waarom wordt gevraagd naar: • de roepnaam • de geboortedatum en • de telefoonnummers (in een ‘verplicht veld’) bij de aanvraag van een informatiepakket over magnetrons?
Privacy-inbreuk remedie • blijf kritisch op afgifte van gegevens • controleer of het bestand of de gevraagde
gegevens zinvol zijn in relatie tot het doel • beperk de hoeveelheid verstrekte gegevens • controleer of de aanvrager/verwerker van de persoonsgegevens een privacystatement op de website heeft staan • volg de (informele) gedragsregels van internet: de netiquette OPR/Advies partner 404-network Independent eStrategy Specialists
28
Anonimiteit op internet Anonimiteit op internet is vrijwel niet te waarborgen; iedereen laat sporen achter. Hulpmiddelen: • cookie management • proxy servers • anonimizers • privacy enhancement tools (PET) • Pretty Good Privacy (PGP) OPR/Advies partner 404-network Independent eStrategy Specialists
29
Cookies • Cookie is informatiepakket dat een website op pc van internetgebruiker kan achterlaten; • Cookie bevat info over PC van internetgebruiker en soms over bezochte pagina’s van website • cookie beslaat slechts één regel tekst van maximaal 255 tekens. • een website kan maximaal 1 cookie op PC plaatsen OPR/Advies partner 404-network Independent eStrategy Specialists
30
Cookie functie Professionele websites gebruiken cookies bijvoorbeeld om:
• gebruikersnamen, • wachtwoorden en • persoonlijke instellingen te bewaren. • bij eerste sitebezoek wordt cookie gemaakt; • bij vervolgbezoek herkent website door cookie de (PC van de) gebruiker. OPR/Advies partner 404-network Independent eStrategy Specialists
31
• gebruiker hoeft niet opnieuw wachtwoord e.d. op te geven
Cookies en privacy • Cookies zijn gebonden aan PC, niet aan
OPR/Advies partner 404-network Independent eStrategy Specialists
32
personen • met toegang tot een PC kan men inzicht krijgen in surfgedrag PC-gebruiker(s) • Cookies interessant in combinatie met webformulieren • invulgegevens van webformulier (creditcardnummers) in cookie • databanken voor marketeers met adres-, cardgegevens en interesses van actieve websitebezoekers
Cookie remedie
OPR/Advies partner 404-network Independent eStrategy Specialists
33
Geheimhouding van web(surf)gedrag, wachtwoorden en vertrouwelijke gegevens door • uitzetten cookies of • achteraf verwijderen • wijzig standaardinstellingen browserprogramma • consequenties: • bij webwinkels dikwijls niet meer alle mogelijkheden beschikbaar of bestellingen te plaatsen • bij banken internetbankieren niet altijd meer mogelijk
Proxy servers • proxy servers zijn ‘tussenpersonen’ • eindgebruiker meldt zich bij proxy; • proxy meldt zich (met proxy-adres) bij
OPR/Advies partner 404-network Independent eStrategy Specialists
34
doel-site • ISP’s hebben (beperkte) proxy servers • webproxy (www.anonymizer.com) • publieke anonieme proxy servers • lagere toegangssnelheid • software • PC-side (Anonymity 4 Proxy) • proxymanagers (MultiProxy)
Privacy statement
OPR/Advies partner 404-network Independent eStrategy Specialists
35
Privacy statements • privacy statements zijn niet verplicht; • de inhoud van een privacy statement is
OPR/Advies partner 404-network Independent eStrategy Specialists
36
nergens voorgeschreven; • let goed op de deugdelijkheid van het artikel; het is geen plaats voor loze praat; • beoordeel de website en de afzender op de correctheid en algemene fatsoensnormen; • onderzoek nu online en vergelijk de privacy statements van www.surfopsafe.nl en van www.consumentenbond.nl
Privacy zelftest
Ga naar de website www.surfopsafe.nl OPR/Advies en doe in een paar minuten partner 404-network de zelftest via de hyperlink ‘Test uw kennis’ 37 Independent eStrategy Specialists
Privacytest resultaat
Ook als uw resultaat een score OPR/Advies van 100 % goed is, geeft de partner beschrijving veel nuttige 404-network uitleg en toelichting Independent eStrategy Specialists
38
Spyware Spyware is de verzamelnaam voor kleine programma’s die ongemerkt voor de internetgebruiker en zonder diens toestemming op de PC worden geïnstalleerd en gegevens over diens internetgedrag verzamelen en doorzenden aan leveranciers van internetdiensten of software.
OPR/Advies partner 404-network Independent eStrategy Specialists
39
Dit levert extra inkomsten voor dienstenleveranciers door verkoop aan reclamebureaus en andere dienstenleveranciers van gebruikersinformatie
Spyware bronnen
OPR/Advies partner 404-network Independent eStrategy Specialists
40
Spyware is met name te vinden in: • gratis (downloadbare) software (shareware) • gesponsorde versies van software (‘light version’) • downloadbare (gratis) muziekbestanden • downloadbare filmpjes in uitwisselprogramma’s, ‘file-sharing-services’ en/of vanaf websites als • www.bearshare.com • www.imesh.com • www.kazaa.com
Spyware remedie • informeer u zelf via www.spychecker.com • wees alert op downloading en downloadsites • installeer anti-spyware op uw pc zoals: • AdAware (www.webattack.com) •Spychecker (www.spychecker.com) • of werk met een goede firewall, zoals bijv.: • ZoneAlarm (www.zonelabs.com) • Norton PersonalFirewall OPR/Advies partner 404-network Independent eStrategy Specialists
41
Privacy publicaties Nuttig boekje: ‘Internet en privacy’ door Wessel Zweers Uitg. Sdu, Den Haag 2001 ISBN 90 12 09283 3 OPR/Advies partner 404-network Independent eStrategy Specialists
42
Privacy publicaties 2 Nuttig boek: ‘Ik heb toch niets te verbergen’ door Lex van Almelo Uitg. Sdu, Den Haag 2001 ISBN 90 12 09316 3 OPR/Advies partner 404-network Independent eStrategy Specialists
43
Privacy informatie
OPR/Advies partner 404-network Independent eStrategy Specialists
44
privacy-informatie op het web • www.cbpweb.nl • www.minjus.nl • www.surfopsafe.nl • www.sif.nl • www.security.nl • www.internetprivacy.nl • privacy.pagina.nl • www.informatiebeveiliging.nl • www.rathenau.nl • www.nlip.nl
Privacy informatie 2 privacy-informatie op het web • www.proxys4all.com • www.multiproxy.org • www.anonymizer.com • www.pgpi.org • www.guidescope.com
OPR/Advies partner 404-network Independent eStrategy Specialists
45
Hacking / cracking Hacking is het via een internetverbinding toegang krijgen tot een computer waarmee men niet volgens afspraak in een netwerk samenwerkt, met de opzet van de onbevoegde(n) dat deze van gegevens in de computer kennisnemen of deze bewerken.
OPR/Advies partner 404-network Independent eStrategy Specialists
46
Hacking wordt verricht door mensen en wordt ondersteund door softwareprogramma’s, die geautomatiseerd ontdekken welke verbindingen binnen een PC (poorten) open staan.
Hacking risico
OPR/Advies partner 404-network Independent eStrategy Specialists
47
Computerinbraak komt steeds meer voor: • steeds meer PC’s met internetaansluiting • steeds meer ADSL-aansluitingen : • verbindingen staan eenvoudig de gehele dag open vanwege vlak tarief (geen ‘tikken’) • verbindingen hebben vast eigen IP-adres en zijn daardoor eenvoudiger te vinden èn terug te vinden. • directe schade is (nog) beperkt; • indirecte schade (tijdverlies) is groot.
Hacking remedie • Zorg dat de zoveel mogelijk ‘poorten’
OPR/Advies partner 404-network Independent eStrategy Specialists
48
gesloten zijn, door de standaard-instellingen van de meeste PC’s te wijzigen; • controleer nu online de standaardinstellingen • gebruik daarvoor de aanwijzingen op de website www.surfopsafe.nl • Verricht een zgn. ‘poort-scan’; • voer nu online een poortscan uit; • zoek daarvoor de aanwijzingen op de website van bijv. paranoia
Poortscan tegen hacking
OPR/Advies partner 404-network Independent eStrategy Specialists
49
www.paranoia.nl
Hacking remedie 2 • Installeer een zgn. ‘firewall’: • voor ‘stand alone pc’s’
OPR/Advies partner 404-network Independent eStrategy Specialists
50
een softwareprogramma dat continu het internetverkeer van een PC in de gaten houdt en alleen doorgang verleent van en naar toegestane ‘adressen’ • voor pc’s in een netwerk een combinatie van hardware en software die hetzelfde verricht als software, maar bestemd is voor PC’s in netwerken
Firewall Voor PC’s in een (klein) netwerk is een hardware-oplossing vaak verstandiger en niet eens duurder, want • geen aparte installatie op elke PC • geen onderhoud op elke PC
OPR/Advies partner 404-network Independent eStrategy Specialists
51
Hacking informatie
OPR/Advies partner 404-network Independent eStrategy Specialists
52
Informatie tegen hacking en over informatiebeveiliging op het web • www.computerbeveiliging.pagina.nl • www.security.nl • www.surfopsafe.nl • www.iusmentis.com • www.gvib.nl • www.ngi.nl/bev • www.symantec.nl
Fraude in e-commerce Fraude in e-commerce is het moedwillig bewerken van bestel- en betaalgegevens met het oogmerk om een zakelijke transactie anders te laten verlopen dan aanvankelijk werd bedoeld, meestal ten nadele van de koper.
OPR/Advies partner 404-network Independent eStrategy Specialists
53
Fraude in e-commerce kan voorkomen bij het invoeren van bestelgegevens en bij het invoeren van betaalgegevens.
Fraude remedie • Bestel en betaal alleen via internet indien de gevraagde gegevens ingevoerd kunnen worden op een ‘beveiligde’ webpagina; • Maak een afdruk van de webpagina met de bestel of betaalgegevens, voordat deze informatie wordt verzonden • Werk alleen met organisaties die bij u bekend zijn en waarvan u ook buiten internet zou kopen. OPR/Advies partner 404-network Independent eStrategy Specialists
54
Fraude remedie 2 • laat uw creditcard-gegevens niet slingeren • bewaar pincodes e.d. op een veilige plaats • hanteer complexe wachtwoorden en draag deze niet over aan anderen • wijzig/vernieuw wachtwoorden regelmatig of eventueel • verricht geen bestellingen en betalingen via internet OPR/Advies partner 404-network Independent eStrategy Specialists
55
Fraude informatie Fraude en e-commerce informatie op het web • www.minjus.nl • www.security.nl • www.surfopsafe.nl • www.ecp.nl
OPR/Advies partner 404-network Independent eStrategy Specialists
56
Spoofing Bij spoofing geeft iemand zich uit voor een ander. Dit kan op verschillende manieren: • misbruik van een IP-adres • misbruik van een url (webadres) • misbruik van een e-mailadres
OPR/Advies partner 404-network Independent eStrategy Specialists
57
IP-spoofing • elke internetgebruiker heeft een IP-adres,
OPR/Advies partner 404-network Independent eStrategy Specialists
58
IP-adres bestaat uit 4 groepen van 3 cijfers; • meeste consumenten en kleinzakelijke gebruikers met een (ISDN-)inbelmodem hebben steeds wisselend (dynamisch) IP-adres; • ADSL-gebruikers en grote netwerken hebben ‘vast’ IP-adres; • door een IP-adres te stelen en te gebruiken doet de misbruiker zich aldus voor als een andere internetgebruiker.
url-spoofing • elke internetsite heeft een uniform resource
OPR/Advies partner 404-network Independent eStrategy Specialists
59
locator (url): het unieke webadres dat bestaat uit 4 groepen van 3 cijfers; • bij het opzoeken van een website wordt het webadres door een domainname server vertaalt in de officiële cijfers van de url; • door een url-adres te stelen en te gebruiken (via hacking op een domainname server) doet de misbruiker zich voor als websiteeigenaar en kan op de ogenschijnlijk correcte website misleidende informatie plaatsen.
e-mail spoofing
OPR/Advies partner 404-network Independent eStrategy Specialists
60
voor het ontvangen en verzenden van e-mail heeft elke gebruiker een e-mailadres dat bestaat uit drie onderdelen: • een individueel / persoonlijk gedeelte (george.w.bush); • een collectief / provider gedeelte (whitehouse) en tot slot • een countrycode of entiteitsgedeelte (us) • het correcte adres ziet er dan uit als:
[email protected]
e-mail spoofing 2 e-mail spoofing is mogelijk door inbraak in • een mailserver
OPR/Advies partner 404-network Independent eStrategy Specialists
61
en diefstal en gebruik van • mailadressen en aanmaak van • misleidende mail-aliassen, zoals:
[email protected] in plaats van
[email protected]
Spoofing remedie Tegen IP-spoofing:
• Firewall gebruiken Tegen url-spoofing
• Secure hosting Tegen e-mail-spoofing OPR/Advies partner 404-network Independent eStrategy Specialists
62
• Secure mailserver hosting
Veilig internetten • Veilig gebruik van internet is mogelijk: • via versleutelde gegevensoverdracht vanaf
OPR/Advies partner 404-network Independent eStrategy Specialists
63
webpagina’s; • via gebruik van speciale protocollen met inschakeling van (erkende) tussenpartijen; • via ‘anonimizers’ • via gebruik van versleuteling van e-mailberichten; • via gebruik van digitale certificaten om afzenders te kunnen identificeren
Electronische handtekening 1 • de elektronische handtekening moet
duidelijk maken dat de verzender van een bericht ‘is wie hij is’ en zich niet uitgeeft voor een ander; • de elektronische handtekening is een ‘digitaal certificaat’ dat gekoppeld kan worden aan elk te verzenden e-mailbericht en de identiteit van de verzender bevestigt. OPR/Advies partner 404-network Independent eStrategy Specialists
64
Electronische handtekening 2 • een echt digitaal certificaat kan alleen
OPR/Advies partner 404-network Independent eStrategy Specialists
65
worden uitgegeven door een te vertrouwen onafhankelijke tussenpersoon / organisatie, een zogenoemde ‘trusted third party’ (TTP) die de identiteit persoonlijk vaststelt; • gebruik van elektronische handtekening is noodzakelijk bij gegevensuitwisseling met bijv. overheidsorganisaties bij aanvrage van paspoorten, vergunningen en uitkeringen en bij aangifte van belastingen. • men spreekt van ‘public key infrastructure’ PKI
Electronische handtekening 3 • In Nederland is invoering sinds begin 2002 in ontwikkeling gekomen • Start wordt gemaakt bij erkenning van TTP’s • internationale TTP’s zijn Verisign en GlobalSign • Nederlandse TTP’s nu zijn bijv. Diginotar en KPN Telecom
OPR/Advies partner 404-network Independent eStrategy Specialists
66
Digitaal certificaat 1 Een e-commerce-onderneming met een digitaal certificaat straalt uit dat men zijn business serieus neemt. Verwijzing naar certificaat
OPR/Advies partner 404-network Independent eStrategy Specialists
67
Dubbelklik op certificaat
Digitaal certificaat 2 Dubbelkik op certificaat: Certificaat informatie verschijnt:
OPR/Advies partner 404-network Independent eStrategy Specialists
68
Beveiligde webpagina • Voer transactie-
gegevens alleen in op een webpagina die beveiligd is met het versleutelingsprotocol SSL (secure socket layer)
• Let op de url:
https://www.abc.nl
OPR/Advies partner 404-network Independent eStrategy Specialists
69
• Controleer het certificaat
Microsoft Internet Explorer
Netscape
SSL-beveiligd
https://www.
beveiligingskenmerken
OPR/Advies partner 404-network Independent eStrategy Specialists
70
SSL-certificaat Door te dubbelklikken op ‘het slotje’ verschijnt het certificaat, waarin is vast te stellen wie de houder is en wat de geldigheidsduur is. OPR/Advies partner 404-network Independent eStrategy Specialists
71
SSL informatie SSL informatie op het web • http://home.netscape.com/ • www.verisign.com
OPR/Advies partner 404-network Independent eStrategy Specialists
72
Betalingsmethoden
OPR/Advies partner 404-network Independent eStrategy Specialists
73
Bij bestellingen via internet is betalen mogelijk buiten internet om en via internet. Off line-mogelijkheden: • onder rembours • (mobiele) PIN-automaat • met eenmalige machtiging tot incasso • op rekening (maandnota) • met accept-girokaart • via bankoverschrijving (vooruitbetaling) • met creditcard (via telefoon en/of fax)
Betalingsmethoden 2 On line-betalingsmethoden zijn: • credit card met SSL-protocol • Maestro (giropas/Europas met SET-protocol) • via factoring/’payment providing’ • e-wallet (bijv. ABN.AMROBank) • www-bon • éénmalige machtiging via internet • via internet-bankieren OPR/Advies partner 404-network Independent eStrategy Specialists
74
Betalen op internet Actueel overzicht van betaalmethoden en beschikbaarheid voor specifieke doelgroepen is bijeengebracht in de publicatie ‘Betalen op Internet 2’ van ECP OPR/Advies partner 404-network Independent eStrategy Specialists
75
ISBN 90 76957 06 1 Maart 2002
Internet betalingsdiensten • Internet Centrale Kassa van Interpay • IntroPay • Multipay • Netgiro • Rabo Internetkassa • Triple Deal • The Way You Pay • Visa Internet Kassa • Worldpay OPR/Advies partner 404-network Independent eStrategy Specialists
76
Betalingsmethoden 3 Voor ontwikkeling en invoering van internet betaalmethoden zijn de Nederlandse partijen: • de Nederlandse banken • Bibit (internationaal vooraanstaand) • Smartpay • Switchpoint • WWW-bon OPR/Advies partner 404-network Independent eStrategy Specialists
77
Betalingsprotocollen • verschillende aanpakken voor transacties van
OPR/Advies partner 404-network Independent eStrategy Specialists
78
verschillende omvang (i.v.m. kosten bij micro-payments) • internationaal is door Visa en Mastercard het SET-protocol ontwikkeld (Secure Electronic Transaction) • bestemd voor goed beveiligde commerciële transacties tussen en met bedrijfsleven en banken; • invoering (in Nederland met name via I-pay) is niet van de grond gekomen; banken bespreken (internationaal) betere protocollen, zoals 3D-SET, 3D-Secure etc.
Versleuteling
OPR/Advies partner 404-network Independent eStrategy Specialists
79
Versleuteling (ook wel aangeduid als codering of encryptie) is klassieke methode voor beveiliging berichtenverkeer. Enkelvoudige sleutel: • zenders en ontvangers kennen vooraf sleutel • eenvoudig systeem, • hoog risico, lage beveiliging Meervoudige sleutel: • actuele methode; vereist systeemafspraken • zenders en ontvangers hebben eigen sleutel • complex systeem, • laag risico, hoge beveiliging,
Enkelvoudige versleuteling • Afzender hanteert één sleutel (versleutelings algoritme) bij opstellen/verzenden van bericht; • Ontvanger hanteert dezelfde sleutel bij ontvangen/lezen van bericht • Sleutel van berichtsysteem is vooraf bekend bij verzender èn ontvanger
• sleutel zit in PC
• verzender en ontvanger locatiegebonden
OPR/Advies partner 404-network Independent eStrategy Specialists
80
• sleutel in ‘smart card’; PC heeft ‘card reader’ • verzender en ontvanger niet locatiegebonden
Versleuteling met smartcard Smartcard drager van: • versleutelingsalgoritme • NAW-gegevens kaarthouder • wachtwoorden/pincodes • geaccepteerde/marktconforme drager
OPR/Advies partner 404-network Independent eStrategy Specialists
81
Meervoudige versleuteling • Systeem maakt gebruik van twee of drie
OPR/Advies partner 404-network Independent eStrategy Specialists
82
sleutels (algoritmisch) • openbare sleutel (public key) • persoonlijke sleutel(s) (private key of check key) • Sleutels: •in PC of •in ‘smart card’; PC heeft ‘card reader’ • verzender en ontvanger niet locatiegebonden • Sleutelfuncties:
• encryptie en decryptie van bericht
• authenticatie ([h]erkenning) afzender
Meervoudige versleuteling 2 In het eenvoudig C2C, B2C en B2B berichtenverkeer is encryptie en identificatie bereikbaar met software: • PGP (privé-gebruik gratis) (zakelijk gebruik op licentiebasis) • Integreerbaar in veel voorkomende e-mailsoftware als Outlook (Express) en Eudora • Daarmee wel PC-gebonden OPR/Advies partner 404-network Independent eStrategy Specialists
83
Meervoudige versleuteling 3 In het formele B2B en C2G/B2G (en v.v.) berichtenverkeer is encryptie en authenticatie bereikbaar met combinaties van hard- en software en een aanpak voor beleid, registratie, erkenning en toekenning van sleutelparen. Internationaal wordt dit aangeduidt als:
OPR/Advies partner 404-network Independent eStrategy Specialists
84
Public Key Infrastructure PKI
Meervoudige versleuteling 4 • Ontvangers wisselen publieke sleutels uit • rechtstreeks of via database (key ring) • Ontvanger meldt ontvangst publieke sleutel
OPR/Advies partner 404-network Independent eStrategy Specialists
85
d.m.v. private sleutel aan verzender • = authenticatie sleutelgebruiker • Ontvanger krijgt bericht (+ publieke sleutel) • Ontvanger leest bericht en ontcijfert met private sleutel de publieke sleutel • = authenticatie verzender • Ontvanger bevestigt ontvangst bericht d.m.v. authenticatie ontvanger aan verzender
Public Key Infrastructure Policy Authority PA
Toezicht
Registration Authority Certification Authority Certification Authority RA CA Authority Certification Registration Authority CA Authority Certification CA Authority Certification RA CA Authority Certification Registration Authority CA Authority Certification CA RA Authority Registration CA RA
OPR/Advies partner 404-network Independent eStrategy Specialists
86
Certification Service Certification Service Provider CSP / Service TTP Certification Provider CSP / Service TTP Certification Provider CSP / Service TTP Certification Provider CSP / Service TTP Certification Provider CSP / TTP Provider CSP / TTP
Secure Signature Creating Device SSCD Certificate Revocation List CRL
Certificaat elementen Rechtsgeldigheid
• pincode • vingerafdruk • gescande handtekening • geavenceerde elektronische handtek.
OPR/Advies partner 404-network Independent eStrategy Specialists
87
• datum begrenzing • transactie begrenzing • domein begrenzing • overheid • burger • bedrijfsleven
+
Certificaat uitgifte • Persoonlijk certificaat op basis van
OPR/Advies partner 404-network Independent eStrategy Specialists
88
persoonlijke identiteit en identiteitscontrole • bijv. bij notaris (als partner in Diginotar) • bijv. bij gemeente (als medewerker overheid) • Atribuut certificaat (bij rechtspersoon) • anoniem certificaat • cridentials (bijv. bancaire borgstelling) • domeincertificaat • bijv. alleen e-mail • bijv. alleen e-mail zonder contracteringsbevoegdheid
Elektronische handtekening
OPR/Advies partner 404-network Independent eStrategy Specialists
89
Basis is de wetgeving •Richtlijn Elektronische Handtekening van de Europese Unie van 13 december 1999 •Wetgeving Elektronische Handtekening • goedgekeurd in Tweede Kamer 14 maart 2002 • is nu naar de Eerste Kamer • leidt tot aanpassing van Burgerlijk Wetboek, Telecommunicatiewet en de Wet Economische Delicten • Besluit Eisen Elektronische Handtekening (AMVB)
Ongewenste confrontaties Ongewenste confrontatie is het via internet ontvangen en zien van andere informatie dan beoogd, meestal ontstaan door misleidende informatie of door misleidende programmering.
OPR/Advies partner 404-network Independent eStrategy Specialists
90
Met name zwakkere groepen in de samenleving kunnen hiervan schade ondervinden, zoals kinderen die onbedoeld terecht komen op porno-sites.
Ongewenste confrontaties Remedie
• overweeg de installatie van een filter dat in
OPR/Advies partner 404-network Independent eStrategy Specialists
91
staat is ongewenst webmateriaal tegen te houden; • leg het adres vast van de website die informatie in beeld brengt die u niet zocht op deze url • leg ook het adres vast van de website die u daarvoor bezocht. • indien de ongewenste confrontaties met name schadelijk zijn voor kinderen, geef dit dan door aan een ‘meldpunt’.
Ongewenste confrontaties Remedie 2
• laat kinderen gebruik maken van op hen
OPR/Advies partner 404-network Independent eStrategy Specialists
92
afgestemde zoekmachines (met ingebouwde filters) • laat kinderen ervaring in webgebruik opdoen op basis van informatie van scholen en van organisaties als de Kinderconsument • maak en houd webervaringen bespreekbaar • maak gebruik van de officiële meldpunten in het geval van illegale informatie of bijv. discriminatie of kinderporno
Ongewenste confrontaties Informatie
informatie op het web • www.europa.eu/portals • www.europa.eu/software • www.nlip.nl • www.sif.nl • www.kinderconsument.nl
OPR/Advies partner 404-network Independent eStrategy Specialists
93
Ongewenste reclame Ongewenste reclame is commerciële berichtgeving via e-mail en Usenet, waar de ontvanger niet om heeft gevraagd en waarvoor het e-mailadres van de ontvanger wordt gebruikt, zonder dat deze dit voor dat doel uitdrukkelijk heeft afgestaan. Ongewenste reclame wordt meestal aangeduid als ‘spam’. OPR/Advies partner 404-network Independent eStrategy Specialists
94
Ongewenste reclame, aanpak • Professionele reclameverzorgers hebben de
OPR/Advies partner 404-network Independent eStrategy Specialists
95
Nederlandse Code Ongevraagde Reclame onderschreven (onderdeel van de Reclame Code) • Branche-organisatie DMSA (Nederlandse Associatie voor Direct Marketing, Distance Selling en Sales Promotion) heeft digitaal ‘Antwoordnummer 666’ ingesteld, zodat men kan aangeven geen SPAM meer te willen ontvangen
Ongewenste reclame, aanpak 2
OPR/Advies partner 404-network Independent eStrategy Specialists
96
De Europese Commissie heeft begin 2002 een besluit genomen over e-mailpromotie: • mail mag alleen verzonden worden aan personen die daar uitdrukkelijk om gevraagd hebben / hun toestemming hebben gegeven. • mail mag niet verzonden worden aan mailadressen waarover men uit hoofde van andere en eerdere activiteiten reeds beschikt. • veel bezwaren tegen nieuwe EU-regeling • principe ‘opt-out’ of ‘opt-in’
Ongewenste reclame, Remedie • meld uw e-mailadres aan bij de DMSA voor • •
OPR/Advies partner 404-network Independent eStrategy Specialists
97
•
filtering uit bestanden; wissel af en toe van e-mailadres en maak een (privé) e-mailadres niet bekend buiten de directe kring van familie en vrienden; wees terughoudend in het afgeven van het e-mailadres voor andere dan strikt zakelijke toepassingen; meld ontvangen spam bij uw internetprovider
Ongewenste reclame Informatie • www.dmsa.nl • www.e-mps.org • www.internetprivacy.nl • www.surfopsafe.nl • www.spam.org
OPR/Advies partner 404-network Independent eStrategy Specialists
98
Verslaving Verslaving op, door en met internet leidt tot sociale ontwrichting, onaangepast gedrag en financiële problemen. Aanleidingen zijn vooral internettoepassingen als ‘chatten’, spellen en gokmogelijkheden.
OPR/Advies partner 404-network Independent eStrategy Specialists
99
Verslaving: gokken simpel Gokken op het web is (te) simpel; met nieuwe wetgeving wordt het nog eenvoudiger.
OPR/Advies partner 404-network Independent eStrategy Specialists
100
Verslaving Remedie • sterke sociale (collegiale) controle • door aanpassing van de PC-instellingen
OPR/Advies partner 404-network Independent eStrategy Specialists
101
ontoegankelijk maken van sommige websites; • instellen van ‘beeldscherm-tachograaf’ zodat het beeldscherm na een in te stellen tijd uitgaat; • zonodig contact houden met psycholoog of regionaal instituut voor ambulante geestelijke gezondheidszorg (riagg)
Meldpunten
OPR/Advies partner 404-network Independent eStrategy Specialists
102
Inmiddels zijn enkele meldpunten ontstaan waar internetgebruikers (vermeende) overtredingen kunnen melden: • Meldpunt Discriminatie op internet •
[email protected] • Meldpunt Kinderporno op internet •
[email protected] • Meldpunt Overig Illegaal Materiaal •
[email protected] • Meldpunt fraude in e-commerce is in ontwikkeling
Praktijkondersteuning 2 Tips & Trucs Beveiliging Handig en actueel boekje voor alle PC-gebruikers in privé- en werksituatie (ook in de kleinzakelijke omgeving) met trucs en tips over PC-beheer en over e-mail en internet-gebruik.
OPR/Advies partner 404-network Independent eStrategy Specialists
103
Uitg. Academic Service verschenen 2002 EUR 7,95
Praktijkondersteuning 3 Steel dit computerboek Handig en actueel boek gericht op gevorderde (!) PC-gebruiker in privé- en werksituatie (ook in de kleinzakelijke omgeving) met praktische tips en zinvolle achtergrondinfo
OPR/Advies partner 404-network Independent eStrategy Specialists
104
Uitg. Easy Computing door Wallace Wang verschenen 2002 EUR 31,74 (incl. CD-Rom)
Netiquette
OPR/Advies partner 404-network Independent eStrategy Specialists
105
De gedragsregels voor de internetgemeenschap zijn geformuleerd als concept voor toepassing op vrijwillige basis; de branchevereniging van de Nederlandse internetproviders heeft ze als boekje uitgegeven en op de website staan.
Conclusies
1
• Veilig internet bestaat niet • systeembenadering • Veilig internetten is mogelijk en vooral een gedragsaspect van de interneteindgebruiker, onder invloed van zijn/haar directe omgeving
• gebruikers- of handelingsbenadering
• Providers kunnen bijdragen aan internetOPR/Advies partner 404-network Independent eStrategy Specialists
106
veiligheid • Aanbieders van diensten kunnen bijdragen aan internetveiligheid • Interneteindgebruiker heeft meeste invloed op internetveiligheid.
Conclusies
2
• op vrijwel alle risico-gebieden zijn maatregelen nodig en uitvoerbaar (ook in bijv. het MKB); • op vrijwel alle risico-gebieden bestaan hulpmiddelen die goed toepasbaar zijn. • veilig internetten is goed bereikbaar, maar vereist discipline en goede onderlinge afspraken in de werksituatie OPR/Advies partner 404-network Independent eStrategy Specialists
107
Conclusies
3
• Veilig gebruik van internet / veilig internetten is vooral afhankelijk van veilig gebruik van PC’s; • Veilig gebruik van PC’s is vooral afhankelijk van gedisciplineerde aanpak van informatiebeveiliging; • Informatiebeveiliging is vooral een zaak van (collectief) gedrag en daarmee van management. OPR/Advies partner 404-network Independent eStrategy Specialists
108
OPR/Advies partner
404-network Independent eStrategy Specialists
OPR/Advies partner 404-network Independent eStrategy Specialists
109
einde
OPR/Advies partner
404-network Independent eStrategy Specialists
OPR/Advies partner 404-network Independent eStrategy Specialists
110
Competence Center
OPR/Advies partner
404-network Independent eStrategy Specialists
OPR/Advies partner 404-network Independent eStrategy Specialists
111
OPR/Advies partner 404-network Independent eStrategy Specialists
112
OPR/Advies partner 404-network Independent eStrategy Specialists
113