Internetsecurity. Veilig gebruik van internet in kleinere organisaties. Alexander Overdiep voor

Internetsecurity Veilig gebruik van internet in kleinere organisaties Alexander Overdiep voor OPR/Advies partner 404-network Independent eStrategy Specialists

Competence Center

Doelstelling Eerste hoofddoel van deze sessie is (aspirant) ondernemers in kleine organisaties zicht te geven op de voornaamste risico’s die het gevolg zijn van zakelijk gebruik van internet, zowel bij het inwinnen van informatie, als bij het uitvoeren van (betaal-)transacties.

OPR/Advies partner 404-network Independent eStrategy Specialists

2

Tweede hoofddoel is (aspirant) ondernemers op een eenvoudige manier een handvat te bieden voor het zelfstandig nemen van maatregelen om het effect van beveiligingsrisico’s te verkleinen.

Opzet


3

Hoofdbegrippen • Veilig, veiligheid en beveiliging 7 plagen Privacy • Virussen Fraude en e-commerce • Hacking Ongewenste beelden • Spam • Verslaving Versleuteling • public key infrastructure

Begripsaspecten


4

veilig, veiligheid en beveiliging • ‘beschermd’, ‘buiten gevaar’, ‘verzekerd tegen aantasting’ • ‘beschermd’ is door ons afgeschermd’, • ‘buiten gevaar’ is onbevattelijk voor bedreigingen van buitenaf, • ‘verzekerd tegen aantasting’ is beschermd door maatregelen. • voorzien van maatregelen voor veilig beheer

Veilig


5

Conclusie •‘Veilig’ als begrip roept altijd emoties op, die te maken hebben met: • praten over veiligheid gaat vooral over onveiligheid • het komt van buiten • wijzelf kunnen of moeten er iets aan of tegen doen • maatregelen zijn nodig: • dan pas ontstaat echte ‘veiligheid’

Veiligheid Veiligheid (formeler) is : • het zorgen voor en in standhouden van een toestand waarin iets veilig is of kan zijn en waarin gevaar wordt voorkomen.

• Veiligheid is de zorg voor een systeem of


6

werksituatie waarin door maatregelen de voortgang van het proces/de werkzaamheden verzekerd is tegen onbedoelde en ongewenste beïnvloeding van binnen- en/of van buitenaf.

Veiligheid Kenmerk van veiligheid is tweezijdigheid of tweerichtingsverkeer en heeft in het zakelijk verkeer te maken met: • apparatuur (bijv PC’s en andere hardware) • grondstoffen en software • infrastructuur • gebruiksvoorschriften en werkafspraken • gedrag van gebruikers OPR/Advies partner 404-network Independent eStrategy Specialists

7

Veilig internet Afhankelijk van componenten: • veilige ‘computersystemen’ bij

• gebruiker van informatie of diensten, • aanbieder van informatie of diensten èn • internetprovider


8

• veilige software bij gebruiker èn bij aanbieder • veilige infrastructuur in het gehele traject; • veilige documenten en diensten èn • veilig gedrag van de internet-eindgebruiker.

Verantwoordelijkheid De verantwoordelijkheid voor veilig internetten ligt gezamenlijk bij: • aanbieder van internettoegang, • aanbieder van internetinformatie en/of internetdiensten • eindgebruiker van internet


9

Verantwoordelijkheidsdomeinen • B2C • B2B • G2B, G2C, C2G èn B2G

Verantwoordelijkheid 2 Beveiligingsrisico’s groeien door ontwikkeling technologieën; CERT’s zien problemen.


10

Computable 15 maart 2002

Verantwoordelijkheid 3 Belang van beveiliging als basis voor vertrouwen voor e-business en e-government dringt ook door tot de publieke sector èn tot de vakpers AG Webeditie 19 maart 2002

Computable 22 maart 2002 OPR/Advies partner 404-network Independent eStrategy Specialists

11

Verantwoordelijkheid 4 Belang van beveiliging dringt ook door tot de grote softwareproducenten èn tot de consumentenpers

14 januari 2002


12

Praktijkondersteuning Beveiliging Handig en actueel boekje gericht op PC-gebruiker in privé- en werksituatie (kleinzakelijke omgeving) met praktische tips en zinvolle achtergrondinfo


13

Uitg. Pearson Education door Victor Peters verschenen 2002 EUR 14,95

Bedrijfsschade • Ruim 80% bedrijven heeft in 2001 te maken gehad met virussen e.d. (gelijk verdeeld over MKB en grootbedrijf)

• Virussen via e-mail 88%

• Virussen via downloads 25% • Virussen via diskettes e.d. 12%

• Virusscanners vangen 75% • Geen directe financiële schade bij 75% • Schade 2e halfjaar 2001 OPR/Advies partner 404-network Independent eStrategy Specialists

14

schatting 0,8 miljard EUR Bron:Intomart, 2002

Gevolgen virusschade Stilstand e-commerce


15

5%

Beschadiging hardware Verminderd bereikbaar intern

11 %

Verminderd bereikbaar klanten

15 %

Verdwijnen bestanden

20 %

Overig

28 %

Beschadigen bestanden

31 %

Vastlopen computer

41 %

Vreemde meldingen

43 %

Bron:Intomart, 2002

11 %

Rol overheid De overheid ziet voor zich zelf geen directe uitvoerende taak op het gebied van veiligheid van internet De overheid richt zich op randvoorwaardenbeleid De overheid ziet wèl een taak voor marktpartijen en gebruikersorganisaties OPR/Advies partner 404-network Independent eStrategy Specialists

16

Overheidsbeleid Beleidsvoornemens zijn vastgelegd in Kabinetsnota “Kwetsbaarheid op internet” van juni 2001 Nog niet besproken in de Tweede Kamer OPR/Advies partner 404-network Independent eStrategy Specialists

17

Veilig internet Overheidsbeleid op het gebied van veilig internet heeft 3 aandachtsgebieden: • Exclusiviteit bescherming tegen onbevoegde kennisname;

• Integriteit bescherming tegen verminking of wijziging van gegevens door onbevoegden;

• Beschikbaarheid OPR/Advies partner 404-network Independent eStrategy Specialists

18

zekerstelling dat informatie en essentiële diensten op noodzakelijke momenten beschikbaar zijn.

Risicogebieden en veiligheidsaspecten van internetgebruik


19

Zeven plagen Veiligheidsproblematiek rond internet-gebruik is terug te voeren tot zeven ‘plagen’:

• Virussen • Privacy-inbreuk • Hacking • Fraude bij bestellen / betalen • Ongewenste confrontaties • Ongewenste reclame (SPAM) • Verslaving OPR/Advies partner 404-network Independent eStrategy Specialists

20

Virussen

(definitie)

Virussen zijn: • zelfstandig werkende programma’s, • die meestal verborgen zitten in of aan een document, • die ontvangen worden via een diskette, per e-mail of via een website • en de inhoud van de PC verminken, • of zelfstandig opdrachten uitvoeren zoals mailberichten samenstellen en verzenden OPR/Advies partner 404-network Independent eStrategy Specialists

21

Virussen: remedie Beste remedie is gebruik van een anti-virusprogramma en dit met grote regelmaat actueel houden. • sommige programma’s zijn gratis; • sommige programma’s kosten geld (ca 50 Euro) • Abonnement voor actualisering kost ca $ 10/jaar OPR/Advies partner 404-network Independent eStrategy Specialists

22

Virussen: remedie 2 • Kies een goed programma voor uw e-mail (de meestgebruikte programma’s zijn niet vanzelfsprekend de beste);

• Handel de e-mail niet af in een browserprogramma voor het bezoeken van het WWW;

• Laat een verbinding met de provider niet onnodig lang openstaan, ook al is er bijv. een ‘goedkope’ ADSL-verbinding. OPR/Advies partner 404-network Independent eStrategy Specialists

23

Virussen: informatie


24

Virus en antivirus-informatie op het web: • antivirus.pagina.nl • www.virusalert.nl • www.surfopsafe.nl • computerbeveiliging.pagina.nl • www.sif.nl • www.security.nl • www.symantec.nl • www.mcafee.nl

Privacy inbreuk • Privacy is het recht op bescherming van de persoonlijke levensfeer.

• In Nederland geregeld via de Wet Bescherming Persoonsgegevens

• Toezicht wordt uitgevoerd door het College Bescherming Persoonsgegevens (vroeger de Registratiekamer) OPR/Advies partner 404-network Independent eStrategy Specialists

25

Privacywetgeving


26

Hoofdlijnen van de wet: • Persoonsgegevens mogen verzameld worden, mits: • het bestand is aangemeld bij het College Bescherming Persoonsgegevens • het bestand een duidelijk omschreven doelstelling heeft • de geregistreerde ondubbelzinning instemt met opname in bestand • de geregistreerde zijn/haar gegevens kan inzien/wijzigen/verwijderen

Privacy inbreuk


27

Waarom wordt gevraagd naar: • de roepnaam • de geboortedatum en • de telefoonnummers (in een ‘verplicht veld’) bij de aanvraag van een informatiepakket over magnetrons?

Privacy-inbreuk remedie • blijf kritisch op afgifte van gegevens • controleer of het bestand of de gevraagde

gegevens zinvol zijn in relatie tot het doel • beperk de hoeveelheid verstrekte gegevens • controleer of de aanvrager/verwerker van de persoonsgegevens een privacystatement op de website heeft staan • volg de (informele) gedragsregels van internet: de netiquette OPR/Advies partner 404-network Independent eStrategy Specialists

28

Anonimiteit op internet Anonimiteit op internet is vrijwel niet te waarborgen; iedereen laat sporen achter. Hulpmiddelen: • cookie management • proxy servers • anonimizers • privacy enhancement tools (PET) • Pretty Good Privacy (PGP) OPR/Advies partner 404-network Independent eStrategy Specialists

29

Cookies • Cookie is informatiepakket dat een website op pc van internetgebruiker kan achterlaten; • Cookie bevat info over PC van internetgebruiker en soms over bezochte pagina’s van website • cookie beslaat slechts één regel tekst van maximaal 255 tekens. • een website kan maximaal 1 cookie op PC plaatsen OPR/Advies partner 404-network Independent eStrategy Specialists

30

Cookie functie Professionele websites gebruiken cookies bijvoorbeeld om:

• gebruikersnamen, • wachtwoorden en • persoonlijke instellingen te bewaren. • bij eerste sitebezoek wordt cookie gemaakt; • bij vervolgbezoek herkent website door cookie de (PC van de) gebruiker. OPR/Advies partner 404-network Independent eStrategy Specialists

31

• gebruiker hoeft niet opnieuw wachtwoord e.d. op te geven

Cookies en privacy • Cookies zijn gebonden aan PC, niet aan


32

personen • met toegang tot een PC kan men inzicht krijgen in surfgedrag PC-gebruiker(s) • Cookies interessant in combinatie met webformulieren • invulgegevens van webformulier (creditcardnummers) in cookie • databanken voor marketeers met adres-, cardgegevens en interesses van actieve websitebezoekers

Cookie remedie


33

Geheimhouding van web(surf)gedrag, wachtwoorden en vertrouwelijke gegevens door • uitzetten cookies of • achteraf verwijderen • wijzig standaardinstellingen browserprogramma • consequenties: • bij webwinkels dikwijls niet meer alle mogelijkheden beschikbaar of bestellingen te plaatsen • bij banken internetbankieren niet altijd meer mogelijk

Proxy servers • proxy servers zijn ‘tussenpersonen’ • eindgebruiker meldt zich bij proxy; • proxy meldt zich (met proxy-adres) bij


34

doel-site • ISP’s hebben (beperkte) proxy servers • webproxy (www.anonymizer.com) • publieke anonieme proxy servers • lagere toegangssnelheid • software • PC-side (Anonymity 4 Proxy) • proxymanagers (MultiProxy)

Privacy statement


35

Privacy statements • privacy statements zijn niet verplicht; • de inhoud van een privacy statement is


36

nergens voorgeschreven; • let goed op de deugdelijkheid van het artikel; het is geen plaats voor loze praat; • beoordeel de website en de afzender op de correctheid en algemene fatsoensnormen; • onderzoek nu online en vergelijk de privacy statements van www.surfopsafe.nl en van www.consumentenbond.nl

Privacy zelftest

Ga naar de website www.surfopsafe.nl OPR/Advies en doe in een paar minuten partner 404-network de zelftest via de hyperlink ‘Test uw kennis’ 37 Independent eStrategy Specialists

Privacytest resultaat

Ook als uw resultaat een score OPR/Advies van 100 % goed is, geeft de partner beschrijving veel nuttige 404-network uitleg en toelichting Independent eStrategy Specialists

38

Spyware Spyware is de verzamelnaam voor kleine programma’s die ongemerkt voor de internetgebruiker en zonder diens toestemming op de PC worden geïnstalleerd en gegevens over diens internetgedrag verzamelen en doorzenden aan leveranciers van internetdiensten of software.


39

Dit levert extra inkomsten voor dienstenleveranciers door verkoop aan reclamebureaus en andere dienstenleveranciers van gebruikersinformatie

Spyware bronnen


40

Spyware is met name te vinden in: • gratis (downloadbare) software (shareware) • gesponsorde versies van software (‘light version’) • downloadbare (gratis) muziekbestanden • downloadbare filmpjes in uitwisselprogramma’s, ‘file-sharing-services’ en/of vanaf websites als • www.bearshare.com • www.imesh.com • www.kazaa.com

Spyware remedie • informeer u zelf via www.spychecker.com • wees alert op downloading en downloadsites • installeer anti-spyware op uw pc zoals: • AdAware (www.webattack.com) •Spychecker (www.spychecker.com) • of werk met een goede firewall, zoals bijv.: • ZoneAlarm (www.zonelabs.com) • Norton PersonalFirewall OPR/Advies partner 404-network Independent eStrategy Specialists

41

Privacy publicaties Nuttig boekje: ‘Internet en privacy’ door Wessel Zweers Uitg. Sdu, Den Haag 2001 ISBN 90 12 09283 3 OPR/Advies partner 404-network Independent eStrategy Specialists

42

Privacy publicaties 2 Nuttig boek: ‘Ik heb toch niets te verbergen’ door Lex van Almelo Uitg. Sdu, Den Haag 2001 ISBN 90 12 09316 3 OPR/Advies partner 404-network Independent eStrategy Specialists

43

Privacy informatie


44

privacy-informatie op het web • www.cbpweb.nl • www.minjus.nl • www.surfopsafe.nl • www.sif.nl • www.security.nl • www.internetprivacy.nl • privacy.pagina.nl • www.informatiebeveiliging.nl • www.rathenau.nl • www.nlip.nl

Privacy informatie 2 privacy-informatie op het web • www.proxys4all.com • www.multiproxy.org • www.anonymizer.com • www.pgpi.org • www.guidescope.com


45

Hacking / cracking Hacking is het via een internetverbinding toegang krijgen tot een computer waarmee men niet volgens afspraak in een netwerk samenwerkt, met de opzet van de onbevoegde(n) dat deze van gegevens in de computer kennisnemen of deze bewerken.


46

Hacking wordt verricht door mensen en wordt ondersteund door softwareprogramma’s, die geautomatiseerd ontdekken welke verbindingen binnen een PC (poorten) open staan.

Hacking risico


47

Computerinbraak komt steeds meer voor: • steeds meer PC’s met internetaansluiting • steeds meer ADSL-aansluitingen : • verbindingen staan eenvoudig de gehele dag open vanwege vlak tarief (geen ‘tikken’) • verbindingen hebben vast eigen IP-adres en zijn daardoor eenvoudiger te vinden èn terug te vinden. • directe schade is (nog) beperkt; • indirecte schade (tijdverlies) is groot.

Hacking remedie • Zorg dat de zoveel mogelijk ‘poorten’


48

gesloten zijn, door de standaard-instellingen van de meeste PC’s te wijzigen; • controleer nu online de standaardinstellingen • gebruik daarvoor de aanwijzingen op de website www.surfopsafe.nl • Verricht een zgn. ‘poort-scan’; • voer nu online een poortscan uit; • zoek daarvoor de aanwijzingen op de website van bijv. paranoia

Poortscan tegen hacking


49

www.paranoia.nl

Hacking remedie 2 • Installeer een zgn. ‘firewall’: • voor ‘stand alone pc’s’


50

een softwareprogramma dat continu het internetverkeer van een PC in de gaten houdt en alleen doorgang verleent van en naar toegestane ‘adressen’ • voor pc’s in een netwerk een combinatie van hardware en software die hetzelfde verricht als software, maar bestemd is voor PC’s in netwerken

Firewall Voor PC’s in een (klein) netwerk is een hardware-oplossing vaak verstandiger en niet eens duurder, want • geen aparte installatie op elke PC • geen onderhoud op elke PC


51

Hacking informatie


52

Informatie tegen hacking en over informatiebeveiliging op het web • www.computerbeveiliging.pagina.nl • www.security.nl • www.surfopsafe.nl • www.iusmentis.com • www.gvib.nl • www.ngi.nl/bev • www.symantec.nl

Fraude in e-commerce Fraude in e-commerce is het moedwillig bewerken van bestel- en betaalgegevens met het oogmerk om een zakelijke transactie anders te laten verlopen dan aanvankelijk werd bedoeld, meestal ten nadele van de koper.


53

Fraude in e-commerce kan voorkomen bij het invoeren van bestelgegevens en bij het invoeren van betaalgegevens.

Fraude remedie • Bestel en betaal alleen via internet indien de gevraagde gegevens ingevoerd kunnen worden op een ‘beveiligde’ webpagina; • Maak een afdruk van de webpagina met de bestel of betaalgegevens, voordat deze informatie wordt verzonden • Werk alleen met organisaties die bij u bekend zijn en waarvan u ook buiten internet zou kopen. OPR/Advies partner 404-network Independent eStrategy Specialists

54

Fraude remedie 2 • laat uw creditcard-gegevens niet slingeren • bewaar pincodes e.d. op een veilige plaats • hanteer complexe wachtwoorden en draag deze niet over aan anderen • wijzig/vernieuw wachtwoorden regelmatig of eventueel • verricht geen bestellingen en betalingen via internet OPR/Advies partner 404-network Independent eStrategy Specialists

55

Fraude informatie Fraude en e-commerce informatie op het web • www.minjus.nl • www.security.nl • www.surfopsafe.nl • www.ecp.nl


56

Spoofing Bij spoofing geeft iemand zich uit voor een ander. Dit kan op verschillende manieren: • misbruik van een IP-adres • misbruik van een url (webadres) • misbruik van een e-mailadres


57

IP-spoofing • elke internetgebruiker heeft een IP-adres,


58

IP-adres bestaat uit 4 groepen van 3 cijfers; • meeste consumenten en kleinzakelijke gebruikers met een (ISDN-)inbelmodem hebben steeds wisselend (dynamisch) IP-adres; • ADSL-gebruikers en grote netwerken hebben ‘vast’ IP-adres; • door een IP-adres te stelen en te gebruiken doet de misbruiker zich aldus voor als een andere internetgebruiker.

url-spoofing • elke internetsite heeft een uniform resource


59

locator (url): het unieke webadres dat bestaat uit 4 groepen van 3 cijfers; • bij het opzoeken van een website wordt het webadres door een domainname server vertaalt in de officiële cijfers van de url; • door een url-adres te stelen en te gebruiken (via hacking op een domainname server) doet de misbruiker zich voor als websiteeigenaar en kan op de ogenschijnlijk correcte website misleidende informatie plaatsen.

e-mail spoofing


60

voor het ontvangen en verzenden van e-mail heeft elke gebruiker een e-mailadres dat bestaat uit drie onderdelen: • een individueel / persoonlijk gedeelte (george.w.bush); • een collectief / provider gedeelte (whitehouse) en tot slot • een countrycode of entiteitsgedeelte (us) • het correcte adres ziet er dan uit als: [email protected]

e-mail spoofing 2 e-mail spoofing is mogelijk door inbraak in • een mailserver


61

en diefstal en gebruik van • mailadressen en aanmaak van • misleidende mail-aliassen, zoals: [email protected] in plaats van [email protected]

Spoofing remedie Tegen IP-spoofing:

• Firewall gebruiken Tegen url-spoofing

• Secure hosting Tegen e-mail-spoofing OPR/Advies partner 404-network Independent eStrategy Specialists

62

• Secure mailserver hosting

Veilig internetten • Veilig gebruik van internet is mogelijk: • via versleutelde gegevensoverdracht vanaf


63

webpagina’s; • via gebruik van speciale protocollen met inschakeling van (erkende) tussenpartijen; • via ‘anonimizers’ • via gebruik van versleuteling van e-mailberichten; • via gebruik van digitale certificaten om afzenders te kunnen identificeren

Electronische handtekening 1 • de elektronische handtekening moet

duidelijk maken dat de verzender van een bericht ‘is wie hij is’ en zich niet uitgeeft voor een ander; • de elektronische handtekening is een ‘digitaal certificaat’ dat gekoppeld kan worden aan elk te verzenden e-mailbericht en de identiteit van de verzender bevestigt. OPR/Advies partner 404-network Independent eStrategy Specialists

64

Electronische handtekening 2 • een echt digitaal certificaat kan alleen


65

worden uitgegeven door een te vertrouwen onafhankelijke tussenpersoon / organisatie, een zogenoemde ‘trusted third party’ (TTP) die de identiteit persoonlijk vaststelt; • gebruik van elektronische handtekening is noodzakelijk bij gegevensuitwisseling met bijv. overheidsorganisaties bij aanvrage van paspoorten, vergunningen en uitkeringen en bij aangifte van belastingen. • men spreekt van ‘public key infrastructure’ PKI

Electronische handtekening 3 • In Nederland is invoering sinds begin 2002 in ontwikkeling gekomen • Start wordt gemaakt bij erkenning van TTP’s • internationale TTP’s zijn Verisign en GlobalSign • Nederlandse TTP’s nu zijn bijv. Diginotar en KPN Telecom


66

Digitaal certificaat 1 Een e-commerce-onderneming met een digitaal certificaat straalt uit dat men zijn business serieus neemt. Verwijzing naar certificaat


67

Dubbelklik op certificaat

Digitaal certificaat 2 Dubbelkik op certificaat: Certificaat informatie verschijnt:


68

Beveiligde webpagina • Voer transactie-

gegevens alleen in op een webpagina die beveiligd is met het versleutelingsprotocol SSL (secure socket layer)

• Let op de url:

https://www.abc.nl


69

• Controleer het certificaat

Microsoft Internet Explorer

Netscape

SSL-beveiligd

https://www.

beveiligingskenmerken


70

SSL-certificaat Door te dubbelklikken op ‘het slotje’ verschijnt het certificaat, waarin is vast te stellen wie de houder is en wat de geldigheidsduur is. OPR/Advies partner 404-network Independent eStrategy Specialists

71

SSL informatie SSL informatie op het web • http://home.netscape.com/ • www.verisign.com


72

Betalingsmethoden


73

Bij bestellingen via internet is betalen mogelijk buiten internet om en via internet. Off line-mogelijkheden: • onder rembours • (mobiele) PIN-automaat • met eenmalige machtiging tot incasso • op rekening (maandnota) • met accept-girokaart • via bankoverschrijving (vooruitbetaling) • met creditcard (via telefoon en/of fax)

Betalingsmethoden 2 On line-betalingsmethoden zijn: • credit card met SSL-protocol • Maestro (giropas/Europas met SET-protocol) • via factoring/’payment providing’ • e-wallet (bijv. ABN.AMROBank) • www-bon • éénmalige machtiging via internet • via internet-bankieren OPR/Advies partner 404-network Independent eStrategy Specialists

74

Betalen op internet Actueel overzicht van betaalmethoden en beschikbaarheid voor specifieke doelgroepen is bijeengebracht in de publicatie ‘Betalen op Internet 2’ van ECP OPR/Advies partner 404-network Independent eStrategy Specialists

75

ISBN 90 76957 06 1 Maart 2002

Internet betalingsdiensten • Internet Centrale Kassa van Interpay • IntroPay • Multipay • Netgiro • Rabo Internetkassa • Triple Deal • The Way You Pay • Visa Internet Kassa • Worldpay OPR/Advies partner 404-network Independent eStrategy Specialists

76

Betalingsmethoden 3 Voor ontwikkeling en invoering van internet betaalmethoden zijn de Nederlandse partijen: • de Nederlandse banken • Bibit (internationaal vooraanstaand) • Smartpay • Switchpoint • WWW-bon OPR/Advies partner 404-network Independent eStrategy Specialists

77

Betalingsprotocollen • verschillende aanpakken voor transacties van


78

verschillende omvang (i.v.m. kosten bij micro-payments) • internationaal is door Visa en Mastercard het SET-protocol ontwikkeld (Secure Electronic Transaction) • bestemd voor goed beveiligde commerciële transacties tussen en met bedrijfsleven en banken; • invoering (in Nederland met name via I-pay) is niet van de grond gekomen; banken bespreken (internationaal) betere protocollen, zoals 3D-SET, 3D-Secure etc.

Versleuteling


79

Versleuteling (ook wel aangeduid als codering of encryptie) is klassieke methode voor beveiliging berichtenverkeer. Enkelvoudige sleutel: • zenders en ontvangers kennen vooraf sleutel • eenvoudig systeem, • hoog risico, lage beveiliging Meervoudige sleutel: • actuele methode; vereist systeemafspraken • zenders en ontvangers hebben eigen sleutel • complex systeem, • laag risico, hoge beveiliging,

Enkelvoudige versleuteling • Afzender hanteert één sleutel (versleutelings algoritme) bij opstellen/verzenden van bericht; • Ontvanger hanteert dezelfde sleutel bij ontvangen/lezen van bericht • Sleutel van berichtsysteem is vooraf bekend bij verzender èn ontvanger

• sleutel zit in PC

• verzender en ontvanger locatiegebonden


80

• sleutel in ‘smart card’; PC heeft ‘card reader’ • verzender en ontvanger niet locatiegebonden

Versleuteling met smartcard Smartcard drager van: • versleutelingsalgoritme • NAW-gegevens kaarthouder • wachtwoorden/pincodes • geaccepteerde/marktconforme drager


81

Meervoudige versleuteling • Systeem maakt gebruik van twee of drie


82

sleutels (algoritmisch) • openbare sleutel (public key) • persoonlijke sleutel(s) (private key of check key) • Sleutels: •in PC of •in ‘smart card’; PC heeft ‘card reader’ • verzender en ontvanger niet locatiegebonden • Sleutelfuncties:

• encryptie en decryptie van bericht

• authenticatie ([h]erkenning) afzender

Meervoudige versleuteling 2 In het eenvoudig C2C, B2C en B2B berichtenverkeer is encryptie en identificatie bereikbaar met software: • PGP (privé-gebruik gratis) (zakelijk gebruik op licentiebasis) • Integreerbaar in veel voorkomende e-mailsoftware als Outlook (Express) en Eudora • Daarmee wel PC-gebonden OPR/Advies partner 404-network Independent eStrategy Specialists

83

Meervoudige versleuteling 3 In het formele B2B en C2G/B2G (en v.v.) berichtenverkeer is encryptie en authenticatie bereikbaar met combinaties van hard- en software en een aanpak voor beleid, registratie, erkenning en toekenning van sleutelparen. Internationaal wordt dit aangeduidt als:


84

Public Key Infrastructure PKI

Meervoudige versleuteling 4 • Ontvangers wisselen publieke sleutels uit • rechtstreeks of via database (key ring) • Ontvanger meldt ontvangst publieke sleutel


85

d.m.v. private sleutel aan verzender • = authenticatie sleutelgebruiker • Ontvanger krijgt bericht (+ publieke sleutel) • Ontvanger leest bericht en ontcijfert met private sleutel de publieke sleutel • = authenticatie verzender • Ontvanger bevestigt ontvangst bericht d.m.v. authenticatie ontvanger aan verzender

Public Key Infrastructure Policy Authority PA

Toezicht

Registration Authority Certification Authority Certification Authority RA CA Authority Certification Registration Authority CA Authority Certification CA Authority Certification RA CA Authority Certification Registration Authority CA Authority Certification CA RA Authority Registration CA RA


86

Certification Service Certification Service Provider CSP / Service TTP Certification Provider CSP / Service TTP Certification Provider CSP / Service TTP Certification Provider CSP / Service TTP Certification Provider CSP / TTP Provider CSP / TTP

Secure Signature Creating Device SSCD Certificate Revocation List CRL

Certificaat elementen Rechtsgeldigheid

• pincode • vingerafdruk • gescande handtekening • geavenceerde elektronische handtek.


87

• datum begrenzing • transactie begrenzing • domein begrenzing • overheid • burger • bedrijfsleven

+

Certificaat uitgifte • Persoonlijk certificaat op basis van


88

persoonlijke identiteit en identiteitscontrole • bijv. bij notaris (als partner in Diginotar) • bijv. bij gemeente (als medewerker overheid) • Atribuut certificaat (bij rechtspersoon) • anoniem certificaat • cridentials (bijv. bancaire borgstelling) • domeincertificaat • bijv. alleen e-mail • bijv. alleen e-mail zonder contracteringsbevoegdheid

Elektronische handtekening


89

Basis is de wetgeving •Richtlijn Elektronische Handtekening van de Europese Unie van 13 december 1999 •Wetgeving Elektronische Handtekening • goedgekeurd in Tweede Kamer 14 maart 2002 • is nu naar de Eerste Kamer • leidt tot aanpassing van Burgerlijk Wetboek, Telecommunicatiewet en de Wet Economische Delicten • Besluit Eisen Elektronische Handtekening (AMVB)

Ongewenste confrontaties Ongewenste confrontatie is het via internet ontvangen en zien van andere informatie dan beoogd, meestal ontstaan door misleidende informatie of door misleidende programmering.


90

Met name zwakkere groepen in de samenleving kunnen hiervan schade ondervinden, zoals kinderen die onbedoeld terecht komen op porno-sites.

Ongewenste confrontaties Remedie

• overweeg de installatie van een filter dat in


91

staat is ongewenst webmateriaal tegen te houden; • leg het adres vast van de website die informatie in beeld brengt die u niet zocht op deze url • leg ook het adres vast van de website die u daarvoor bezocht. • indien de ongewenste confrontaties met name schadelijk zijn voor kinderen, geef dit dan door aan een ‘meldpunt’.

Ongewenste confrontaties Remedie 2

• laat kinderen gebruik maken van op hen


92

afgestemde zoekmachines (met ingebouwde filters) • laat kinderen ervaring in webgebruik opdoen op basis van informatie van scholen en van organisaties als de Kinderconsument • maak en houd webervaringen bespreekbaar • maak gebruik van de officiële meldpunten in het geval van illegale informatie of bijv. discriminatie of kinderporno

Ongewenste confrontaties Informatie

informatie op het web • www.europa.eu/portals • www.europa.eu/software • www.nlip.nl • www.sif.nl • www.kinderconsument.nl


93

Ongewenste reclame Ongewenste reclame is commerciële berichtgeving via e-mail en Usenet, waar de ontvanger niet om heeft gevraagd en waarvoor het e-mailadres van de ontvanger wordt gebruikt, zonder dat deze dit voor dat doel uitdrukkelijk heeft afgestaan. Ongewenste reclame wordt meestal aangeduid als ‘spam’. OPR/Advies partner 404-network Independent eStrategy Specialists

94

Ongewenste reclame, aanpak • Professionele reclameverzorgers hebben de


95

Nederlandse Code Ongevraagde Reclame onderschreven (onderdeel van de Reclame Code) • Branche-organisatie DMSA (Nederlandse Associatie voor Direct Marketing, Distance Selling en Sales Promotion) heeft digitaal ‘Antwoordnummer 666’ ingesteld, zodat men kan aangeven geen SPAM meer te willen ontvangen

Ongewenste reclame, aanpak 2


96

De Europese Commissie heeft begin 2002 een besluit genomen over e-mailpromotie: • mail mag alleen verzonden worden aan personen die daar uitdrukkelijk om gevraagd hebben / hun toestemming hebben gegeven. • mail mag niet verzonden worden aan mailadressen waarover men uit hoofde van andere en eerdere activiteiten reeds beschikt. • veel bezwaren tegen nieuwe EU-regeling • principe ‘opt-out’ of ‘opt-in’

Ongewenste reclame, Remedie • meld uw e-mailadres aan bij de DMSA voor • •


97

•

filtering uit bestanden; wissel af en toe van e-mailadres en maak een (privé) e-mailadres niet bekend buiten de directe kring van familie en vrienden; wees terughoudend in het afgeven van het e-mailadres voor andere dan strikt zakelijke toepassingen; meld ontvangen spam bij uw internetprovider

Ongewenste reclame Informatie • www.dmsa.nl • www.e-mps.org • www.internetprivacy.nl • www.surfopsafe.nl • www.spam.org


98

Verslaving Verslaving op, door en met internet leidt tot sociale ontwrichting, onaangepast gedrag en financiële problemen. Aanleidingen zijn vooral internettoepassingen als ‘chatten’, spellen en gokmogelijkheden.


99

Verslaving: gokken simpel Gokken op het web is (te) simpel; met nieuwe wetgeving wordt het nog eenvoudiger.


100

Verslaving Remedie • sterke sociale (collegiale) controle • door aanpassing van de PC-instellingen


101

ontoegankelijk maken van sommige websites; • instellen van ‘beeldscherm-tachograaf’ zodat het beeldscherm na een in te stellen tijd uitgaat; • zonodig contact houden met psycholoog of regionaal instituut voor ambulante geestelijke gezondheidszorg (riagg)

Meldpunten


102

Inmiddels zijn enkele meldpunten ontstaan waar internetgebruikers (vermeende) overtredingen kunnen melden: • Meldpunt Discriminatie op internet • [email protected] • Meldpunt Kinderporno op internet • [email protected] • Meldpunt Overig Illegaal Materiaal • [email protected] • Meldpunt fraude in e-commerce is in ontwikkeling

Praktijkondersteuning 2 Tips & Trucs Beveiliging Handig en actueel boekje voor alle PC-gebruikers in privé- en werksituatie (ook in de kleinzakelijke omgeving) met trucs en tips over PC-beheer en over e-mail en internet-gebruik.


103

Uitg. Academic Service verschenen 2002 EUR 7,95

Praktijkondersteuning 3 Steel dit computerboek Handig en actueel boek gericht op gevorderde (!) PC-gebruiker in privé- en werksituatie (ook in de kleinzakelijke omgeving) met praktische tips en zinvolle achtergrondinfo


104

Uitg. Easy Computing door Wallace Wang verschenen 2002 EUR 31,74 (incl. CD-Rom)

Netiquette


105

De gedragsregels voor de internetgemeenschap zijn geformuleerd als concept voor toepassing op vrijwillige basis; de branchevereniging van de Nederlandse internetproviders heeft ze als boekje uitgegeven en op de website staan.

Conclusies

1

• Veilig internet bestaat niet • systeembenadering • Veilig internetten is mogelijk en vooral een gedragsaspect van de interneteindgebruiker, onder invloed van zijn/haar directe omgeving

• gebruikers- of handelingsbenadering

• Providers kunnen bijdragen aan internetOPR/Advies partner 404-network Independent eStrategy Specialists

106

veiligheid • Aanbieders van diensten kunnen bijdragen aan internetveiligheid • Interneteindgebruiker heeft meeste invloed op internetveiligheid.

Conclusies

2

• op vrijwel alle risico-gebieden zijn maatregelen nodig en uitvoerbaar (ook in bijv. het MKB); • op vrijwel alle risico-gebieden bestaan hulpmiddelen die goed toepasbaar zijn. • veilig internetten is goed bereikbaar, maar vereist discipline en goede onderlinge afspraken in de werksituatie OPR/Advies partner 404-network Independent eStrategy Specialists

107

Conclusies

3

• Veilig gebruik van internet / veilig internetten is vooral afhankelijk van veilig gebruik van PC’s; • Veilig gebruik van PC’s is vooral afhankelijk van gedisciplineerde aanpak van informatiebeveiliging; • Informatiebeveiliging is vooral een zaak van (collectief) gedrag en daarmee van management. OPR/Advies partner 404-network Independent eStrategy Specialists

108

OPR/Advies partner

404-network Independent eStrategy Specialists


109

einde

OPR/Advies partner



110

Competence Center

OPR/Advies partner



111


112


113

Internetsecurity. Veilig gebruik van internet in kleinere organisaties. Alexander Overdiep voor

Recommend Documents