InfoSecurity 2000 – M-commerce en Security
(version 1.0)
23/9/2000
M-commerce en beveiliging, de invloed van de massamarkt Door Petra van Krugten-Elgersma
Introductie Hoe veilig is het om met de creditkaart via het Internet te betalen? Producten die via het Internet worden besteld, worden die ook daadwerkelijk ontvangen? Dit zijn, na “sex” en “MP3”, de meest gestelde vragen in de ecommerce wereld. Beveiliging en logistiek in de e-commerce zijn dus cruciale succesfactoren.
Hetzelfde geldt voor m-commerce. M-commerce staat voor Mobile Commerce. Het is het mobiele zusje van e-commerce, dat voor Electronic Commerce staat. M-commerce is niets anders dan handel drijven via het mobiele netwerk, zoals met e-commerce gehandeld wordt via het vaste net. De technologie rond mobiele communicatie is zo ver gevorderd dat concreet producten kopen via je mobiele telefoon op de plaats waar en het tijdstip wanneer je maar wilt, mogelijk is. Maar hoe veilig is het zaken doen via de mobiele kanalen? Zijn de problemen in de mobiele wereld te vergelijken met de vaste elektronische wereld of zijn ze zelfs erger? Is m-commerce in beginsel al een dusdanig illegaal verkoopkanaal dat beveiliging er totaal niet toe doet? En wat is de invloed van de massamarkt?
Waarom Mobile Commerce? M-commerce is het drijven van handel via het mobiele Internet. Op elke plaats, op elk willekeurig tijdstip kan een consument een product of dienst via zijn of haar mobiele telefoon kopen of bekijken. Waarom zou je op iedere willekeurige plaats of ieder willekeurig tijdstip producten of diensten willen kopen? Omdat mensen gewend beginnen te raken aan het ubiquitous tijdperk. Omdat ze zich veel verplaatsen. Omdat de mobiele technologie steeds meer mogelijk maakt. Omdat mensen, zelfs in Nederland, gewend beginnen te raken aan het gemak van transacties doen via het Internet. Nederland is wat achterdochtig hierover, heeft nog wat aarzelingen met betrekking tot het veilig kunnen doen van transacties. Maar waarom wil men nou via mobiel Internet bijvoorbeeld boodschappen doen?
Petra van Krugten-Elgersma - © Cap Gemini 2000
1
InfoSecurity 2000 – M-commerce en Security
(version 1.0)
23/9/2000
De Last-minute Boodschap Soms is het gewoon niet mogelijk om fysiek boodschappen te doen. En soms is het ook niet mogelijk om via de vaste telefoon, de PC en Internet je boodschap te doen. En toch heb je iets dringend nodig. Je zit bijvoorbeeld in de auto onderweg naar huis. Los van de files is het nog anderhalf uur rijden. Je hebt vergeten vlees uit de vriezer te halen. Via je mobiele telefoon is het mogelijk een Internet verbinding tot stand te brengen. Via de mobiele Internet browser zoek je een slager en bestelt drie gehaktballen. De gehaktballen kunnen worden afgeleverd bij het Essostation op de A7 vlakbij Emmeloord, waar je toch langs komt op weg naar huis. Het Ongelukje Onderweg Een ander voorbeeld is de accountmanager die op weg is naar een klant en ontdekt dat hij alle tijd heeft voor een uitgebreide lunch. Via zijn mobiele telefoon ontdekt hij een leuk restaurantje in de buurt. Er is een foto bij en het witte vriendelijke huisje ziet er uitnodigend uit. Na een overheerlijke lunch vervolgt de accountmanager zijn weg. Ineens ontdekt hij tot zijn afgrijzen dat de tomatensoep een hinderlijke grote vlek op zijn stropdas heeft gemaakt. Via de mobiele telefoon zoekt hij de dichtstbijzijnde dassenwinkel op. Hij zou de das mobiel kunnen bestellen, maar de levertijd naar welk willekeurig adres bedraagt vier uur. Dat is te lang. Gelukkig kan hij gewoon naar de winkel toegaan. Snel maakt hij mobiel zijn keuze en belt die vervolgens naar de winkel door. Hij legt uit dat hij niet zoveel tijd heeft en dus de winkel zal binnenstormen, de das zal betalen, omdoen en weer vertrekken. Inmiddels zal het toch allemaal wel krap worden om op tijd bij de klant te arriveren... Mobiel parkeren Iedereen kent wel de gemiddelde parkeersituatie in de binnenstad van een grote plaats. De parkeermeters, waar klinkende munt in dient te worden gegooid. Peperduur parkeren. Of de parkeergarages met afschuwelijk langzaam werkende afrekenen automaten. Sommige van deze automaten kennen gelukkig het verschijnsel dat er ook met een pin-pas afgerekend kan worden maar de meeste accepteren slechts munten of briefjes van tien of vijfentwintig. Daar sta je met je briefje van honderd of je ene briefje van vijfentwintig dat alsmaar niet wordt geaccepteerd. Overigens, wel weer peperduur parkeren. Toch doet zich soms het verschijnsel voor dat het je als automobilist niet uitmaakt
Petra van Krugten-Elgersma - © Cap Gemini 2000
2
InfoSecurity 2000 – M-commerce en Security
(version 1.0)
23/9/2000
hoeveel je voor het laten vallen van je vervoermiddel moet betalen, als je hem maar kwijt kunt. En dan heb je last van de praktische beperking van de parkeermeters: hier moet contant geld in, bij voorkeur muntgeld. En vrijwel niemand loopt met zo'n vijftig gulden aan muntgeld op zak. Terwijl je dat bedrag er op dat moment best voor over hebt, als je de auto maar kwijt bent! Je wilt geen wielklem, of nog erger, de ontdekking doen dat je dierbare auto is weggesleept. Stel je toch eens voor dat je via een simpele transactie, via je mobiele telefoon, je parkeerschuld kunt afkopen. En nog veel mooier: je mobiele telefoon waarschuwt je wanneer de gereserveerde parkeertijd is overschreden en geeft je de mogelijkheid om op afstand de parkeertijd te verlengen (mits de parkeerplek niet is gereserveerd door een ander). Kortom: m-commerce maakt het gewoon gemakkelijker dit soort kleine transacties te doen op de plaats waar je het wilt en op het moment dat je het wil. Zoals de voorgaande voorbeelden al aangaven: het gaat hierbij vooral om de consumer2business (C2B) markt, de massamarkt.
Beveiligd m-commerce Die massamarkt brengt wel wat uitdagingen met zich mee als het gaat om imago en beveiliging van e- en m-commerce. Als er soms op kleine schaal met creditcards wordt geknoeid, is dat vervelend voor de betrokkene, maar het is meestal geen voorpaginanieuws. Echter wanneer op grote schaal geldtransacties worden “gehackt” waarbij het tegenrekeningnummer wordt veranderd in het rekeningnummer van de “hacker” waait er nogal wat stof op. Het schrikbeeld dat vele creditcardnummers en hun vervaldatum in handen van onverlaten kunnen vallen, maakt nogal wat mensen onrustig. Was veilig en gemakkelijk betalen op Internet vanaf de vaste PC met een vaste telefoonverbinding al een hele uitdaging, het veilig en vertrouwelijk afhandelen van m-commerce transacties is de volgende horde die moet worden genomen. De huidige protocollen zijn uitgerust met beveiligingsfaciliteiten, die op z’n zachtst gezegd mager te noemen zijn. GSM voice data encryption, de versleuteling van gegevens en spraak via de GSM verbinding, is weliswaar de gelukkige uitzondering hierop maar dit neemt niet weg dat de veiligheid van een keten aan transacties wordt bepaald door de zwakste schakel in die ketens. In de mobiele beveiliging zijn twee hoofddoelen te onderscheiden: • De leveranciers van mobiele diensten willen zekerheid dat zij facturen met de juiste inhoud sturen naar de juiste klant; • De afnemers willen verzekerd zijn van de juiste afhandeling van de transactie met behoud van een zekere mate van privacy.
Petra van Krugten-Elgersma - © Cap Gemini 2000
3
InfoSecurity 2000 – M-commerce en Security
(version 1.0)
23/9/2000
Om aan deze wensen tegemoet te komen zijn een aantal maatregelen nodig: • Anonimiteit, waarbij de gebruiker van mobiele diensten niet gemakkelijk kan worden geïdentificeerd door Jan-en-alleman; • Identificatie, waardoor de leverancier weet wie gebruik maakt van een dienst, zodat de juiste rekening gestuurd kan worden; • Bescherming van de transactie gegevens, waarbij alle gegevens die de gebruiker stuurt via het mobiele net beschermd zijn voor ongeautoriseerd gebruik; • Bescherming van niet te anonimiseren identificerende gegevens, zoals het telefoonnummer van de gebruiker. De diverse kanalen hebben dat nummer wel nodig om de juiste gebruiker van de juiste voice of data te voorzien. Het is echter niet wenselijk dat een telefoonnummer in handen van kwaadwillenden valt. Anonimiteit Door gebruik te maken van tijdelijke identificaties kan anonimiteit goed genoeg worden gewaarborgd. Bij het inschakelen van het mobiele apparaat zal in eerste instantie de werkelijke identificatie worden gebruikt. Die identificatie zal gedurende de transactie vertaald worden naar meerdere tijdelijke identificaties. Wordt een tijdelijke identificatie vertaald naar de volgende tijdelijke identificatie dan zal de oorspronkelijke identificatie worden verwijderd. Al deze tijdelijke identificaties zijn na beëindigen van de transactie niet meer aanwezig. Op deze manier valt de werkelijke identiteit alleen vast te stellen wanneer het spoor permanent gevolgd zou worden. Bijvoorbeeld: een apparaat met de identificatie “XJ5643Z” meldt zich aan in het mobiele net. De spraak of gegevens die het apparaat gaat zenden gaat over bijvoorbeeld vier schijven voordat het de plaats van bestemming heeft bereikt (in werkelijkheid zijn er dat veel meer). Op de eerste schijf wordt de identificatie “XJ5643Z” omgecodeerd naar “Tijdelijk Schijf 1”. Op de tweede schijf wordt “Tijdelijk Schijf 1” omgecodeerd naar “xyz”. De identificatie “Tijdelijk Schijf 1” wordt nu verwijderd en bestaat dus gewoon niet meer. Deze procedure vindt ook plaats op schijf drie en vier. De link tussen “XJ5643Z” en “xyz” is bij de verwerking op schijf twee al niet meer zo een-twee-drie te leggen. Identificatie Identificatie wordt via het mobiele apparaat gedaan, waarbij ervan uit wordt gegaan dat diegene die het apparaat in zijn handen heeft ook inderdaad de eigenaar ervan is. Deze identificatie van de gebruiker door het mobiele netwerk wordt gedaan door een zogenaamd “Challenge and Response” mechanisme. Dit mechanisme is gebaseerd op encryption, een techniek waarbij gegevens door middel van een algoritme worden versleuteld. Het netwerk stuurt een random gekozen nummer naar het mobiele apparaat. Het apparaat versleutelt dit
Petra van Krugten-Elgersma - © Cap Gemini 2000
4
InfoSecurity 2000 – M-commerce en Security
(version 1.0)
23/9/2000
getal met een algoritme en voegt daar een unieke sleutel aan toe, een algoritme en sleutel die horen bij het apparaat. Dit geheel wordt terug gestuurd naar het netwerk, wat controleert of het antwoord inderdaad van dit specifieke apparaat afkomstig is. Bijvoorbeeld: het netwerk stuurt het getal “10”, het mobiele apparaat past zijn eigen algoritme toe en versleutelt dit getal door het met “3” te vermenigvuldigen. Vervolgens wordt de unieke sleutel “12345” van het apparaat toegevoegd. De uitkomst: “3012345” wordt naar het netwerk gestuurd. Het netwerk kent de getallen “10”, “3” en “12345” en de bewerking “delen” als horende bij de transactie die op dit specifieke apparaat is gestart. Het netwerk verwijdert “12345”, deelt het getal door “3” en controleert of het oorspronkelijk verzonden getal “10” met de uitkomst overeenkomt. Bescherming van transactie en niet te anonimiseren gegevens De belangrijkste zaken die bij de beveiliging van een elektronische transactie via het mobiele of vaste net geregeld moeten worden zijn: • de digitale handtekening; • versleuteling van gegevens. De Digitale Handtekening De digitale handtekening is nodig om te verifiëren of een gebruiker ook echt is wie hij of zij beweert te zijn. Daarnaast zorgt de digitale handtekening ook voor de benodigde onweerlegbaarheid van een transactie. Onweerlegbaarheid van de transactie is nodig omdat een klant anders na het doen van bijvoorbeeld een aankoop kan beweren dat hij of zij de betreffende aankoop helemaal niet heeft gedaan.Identificatie is in dit geval niet afdoende genoeg. Immers bij identificatie werd de aanname gedaan dat diegene die het apparaat in handen heeft ook de eigenaar van dat apparaat is, wat natuurlijk niet het geval hoeft te zijn. Overigens zijn er bedrijven die de onweerlegbaarheid niet zo heel erg belangrijk vinden. Zij vinden dat hun primaire doel “verkopen” is. De drempel “kopen” moet daarom zo laag mogelijk zijn. Indien een klant beweert dat hij de producten nooit heeft besteld, is het klantvriendelijker - en dus laag-drempeliger - en waarschijnlijk ook goedkoper om de klant de spullen terug te laten sturen. Het is de vraag of dit inzicht hetzelfde blijft nadat er bijvoorbeeld een grootscheepse fraude met creditcardnummers heeft plaatsgevonden. Diegene die in zo’n situatie niet kan bewijzen dat de transactie onweerlegbaar is, is waarschijnlijk dan het slachtoffer. Versleuteling van Gegevens Versleuteling van de gegevens heeft als belangrijkste doel dat gegevens vertrouwelijk blijven tijdens de gegevensoverdracht. Bovendien kan worden gecontroleerd dat de boodschap intact is overgedragen. Het is namelijk niet langer mogelijk de transactie “af te luisteren” en te wijzigen of deze later in gewijzigde vorm te herhalen. Voor e-commerce is inmiddels een methodiek ontwikkeld voor digitale handtekeningen en versleuteling. Deze methodiek, Public Key Infrastructure (PKI), werkt volgens een mechanisme waarbij versleuteling van gegevens en het creëren van digitale handtekeningen een uiterst hoge veiligheid biedt. De berekeningen die nodig
Petra van Krugten-Elgersma - © Cap Gemini 2000
5
InfoSecurity 2000 – M-commerce en Security
(version 1.0)
23/9/2000
zijn voor de versleuteling en de creatie van de digitale handtekening vergen echter ook een grote rekenkracht op de apparaten die de transactie verwerken. Met de zeer krachtige PC’s van tegenwoordig is deze rekenkracht ruim voorhanden.Bij mobiele telefoons is dat niet het geval, mobiele telefoons hebben een beperkte rekenkracht die wordt gebruikt voor waar de telefoon oorspronkelijk voor bedoeld was: het juist kunnen afhandelen van een bel proces en ondersteuning voor de gebruiker daarbij. De huidige generatie mobiele telefoons beschikt niet over de rekenkracht die nodig is om op PKI gebaseerde transacties uit te voeren. Overigens is het meestal voldoende om via de sterke PKI versleuteling een sleutel uit te wisselen die dan kan worden gebruikt voor de verdere encryption van de gegevens in de transactie. Zo’n ”singlekey encryption” is veel minder rekenintensief. Het heeft echter als enorm veiligheidsprobleem datdeze sleutel moet worden uitgewisseld. Oplossing hiervoor is dat de sleutel op zijn beurt ook weer via PKI wordt versleuteld. Hierdoor is ook bij een mobiele telefoon met een eenmalige grote rekeninspanning op een veilige manier tot een sleuteluitwisseling te komen. De SIM-kaart De SIM-kaart is een plastic container voor een processor met opslagcapaciteit. SIM staat voor Subscriber Identity Module. In het begin was de SIM-kaart wel verwerkt in een creditcardformaat stuk plastic. Dit vergemakkelijkte het plaatsen van de kaart in de telefoon. Door de behoefte van het publiek aan en de komst van kleinere mobiele telefoons wordt de SIM-kaart inmiddels in klein formaat gebruikt. De SIM-kaart is een “smartcard” die in elke mobiele telefoon zit. Smartcards zijn microprocessors op een verplaatsbare basis, die bijvoorbeeld in een plastic houder is geplaatst. SIM-kaarten kunnen net als andere smartcards softwareprogramma’s uitvoeren. Het is eigenlijk een computer in mini uitvoering. De SIM-kaart in de telefoon heeft als eerste doel de gebruiker te identificeren voor de mobiele telecom-aanbieder. De mobiele telecom-aanbieder stelt deze SIM-kaarten aan haar klanten ter beschikking. Op de SIM-kaart staan zowel klantgegevens als de bijbehorende netwerkgegevens. De SIM-kaart voor GSM is ontworpen met het oog op een zeer hoge beveiliging van gegevens. Nieuwe generatie SIM-kaarten biedt PKI De nieuwe SIM-kaarttechnologie maakt het mogelijk om PKI te gebruiken binnen de huidige generatie GSM telefoons. Het gebrek aan rekenkracht in de telefoon zelf wordt op deze manier gecompenseerd. De benodigde rekenkracht is in de SIM-kaart aangebracht. SIM-kaarten zijn de afgelopen jaren steeds krachtiger geworden. Nieuwe SIM-kaarten beschikken over veel meer geheugen voor bijvoorbeeld het opslaan van telefoonnummers. Bovendien is de rekenkracht veel groter geworden. Juist de mogelijkheid voor het kunnen uitvoeren van programma’s op de SIM-kaart komt goed van pas wanneer volledige transacties moeten worden versleuteld. Dat vergt immers veel rekenkracht. Inmiddels hebben softwarebedrijven en SIMkaartfabrikanten aangekondigd SIM-kaarten op de markt te gaan brengen die beveiliging met digitale handtekeningen en PKI-versleuteling mogelijk maken. Voor
Petra van Krugten-Elgersma - © Cap Gemini 2000
6
InfoSecurity 2000 – M-commerce en Security
(version 1.0)
23/9/2000
de nieuwste generatie SIM-kaarten is op basis van het PKI-principe software ontworpen die op het moment dat de mobiele gebruiker een transactie wil uitvoeren, wordt geactiveerd. De software wordt uitgevoerd door de krachtige SIMkaartprocessor en maakt de benodigde berekeningen voor de digitale handtekening en het versleutelen van de gegevens. Mobiele telecom bedrijven kunnen deze SIM-kaarten, die geschikt zijn voor m-commerce, aan hun klanten uitleveren. Het zijn overigens geen goedkope kaarten. De kaart zal dan ook alleen aan relevante doelgroepen worden aangeboden. Verder wordt verwacht dat deze SIM-kaarten ook in andere apparaten dan de mobiele telefoon gebruikt kunnen worden. Bijvoorbeeld in een handset waarmee een mobiele verbinding kan worden gemaakt om een elektronische agenda op een centrale plaats in te kunnen zien of te wijzigen. Is Beveiliging voor m-commerce een issue? Om legaal transacties uit te kunnen voeren is het noodzakelijk dat de voorwaarden, die gepaard gaan met zo’n transactie, worden gecommuniceerd met alle betrokken partijen. In de papieren wereld zijn dat de kleine lettertjes op een contract. In de Internet wereld is het eenvoudig om ook zo’n contract de revue te laten passeren. De elektronische identificatie en de digitale handtekening moeten dan wel door alle partijen als rechtsgeldig zijn geaccepteerd. In een m-commerce omgeving is het, zeker gezien de beperkte bandbreedte, haast ondoenlijk om alle voorwaarde de revue te laten passeren en rechtsgeldig te laten afhandelen. De mogelijkheden van de huidige bandbreedte en mobiele telefoons staan niet toe dat een anderhalf A4 naar het mobiele apparaat wordt gestuurd en getoond, dat moet in kleinere stukjes. De mogelijke m-commerce klant is van verveling allang opgehouden m-commercie te bedrijven als hij eerst wordt geconfronteerd met schermpjes (ze zijn maar klein) vol met juridische taal, die hij stuk voor stuk moet accepteren. Op dit moment worden dus m-commerce transacties gedaan zonder gecommuniceerde en geaccepteerde voorwaarden en die dus totaal niet rechtsgeldig zijn. Als de massamarkt kwaad wil, ontkent zij alle gedane transacties. De leveranciers hebben dan geen poot om op te staan. Het omgekeerde geldt natuurlijk ook vanuit het gezichtspunt van de leverancier. Geen enkele leverancier kan aan het leveren van producten of diensten worden gehouden, de transactie is immers niet rechtsgeldig. Waarom dan toch m-commerce? Deze commerciële wereld richt zich op het jonge publiek. Dit jonge publiek heeft veel minder behoefte aan beveiliging dan de generaties voor hen. Veel jonge mensen maken zich niet druk over inbrekers en hackers. Voor een aantal jonge mensen is inbreken zelfs een “sport”, niet zo zeer om kwaad te willen doen, maar om aan te tonen dat er lekken zijn. De transacties die jonge mensen uitvoeren gaan
Petra van Krugten-Elgersma - © Cap Gemini 2000
7
InfoSecurity 2000 – M-commerce en Security
(version 1.0)
23/9/2000
meestal niet over spectaculaire bedragen. Voor jonge mensen is het gebruik van de mobiele wereld een kick. Het is een soort hebbedingetje waar zij graag mee geuren en waarbij zij zich minder zorgen maken over de eventuele ongewenste gevolgen ervan. Voor de leverancier van mobiele diensten en producten zit het anders in elkaar. Vele transacties van kleine bedragen vormen tezamen toch weer een groot bedrag. Voor de leveranciers van mobiele diensten geldt op dit moment: wie het eerst komt, wie de grootste markt binnen haalt. Dat is wat waard. De leveranciers van nu moeten het aloude handelsspel spelen: ondernemen is een zeker risico nemen...
Partijen bij het maken van mobiele toepassingen Er zijn vele partijen betrokken bij de ontwikkeling en realisatie van mobiele oplossingen. Je hebt de mobiele apparatuurontwikkelaars nodig voor de mobiele apparaten, niet noodzakelijkerwijs een mobiele telefoon. Je hebt de telecomoperators nodig vanwege de verbinding. Er is een partij nodig die iets doet aan de beveiliging. Mobiele diensten leveranciers willen zeker weten dat ze de juiste rekening naar de juiste klant sturen voor hun diensten. M-commercers, zij die handel via het mobiele net bedrijven, willen zeker weten dat zij de diensten en producten ook daadwerkelijk krijgen. En dit is dan alleen de aanbodkant. Aan de vraagkant moet er een partij zijn die de business case ontwikkelt. Een partij die de klant bijstaat bij het beslissen over wat m-commerce hen te bieden heeft. Die kan uitzoeken of m-commerce een oplossing is voor het verbeteren van de bedrijfsvoering van de klant. Een bedrijf moet op strategisch niveau kunnen bepalen wat een nieuwe technologie voor hen te betekenen heeft in plaats van dat zij een bedrijfsprobleem hebben waar een nieuwe technologie de oplossing voor lijkt te zijn. Voorbeeld Een verzekeringsmaatschappij vraagt zich af wat m-commerce voor hen te betekenen kan hebben. Ze hebben een autoverzekering, die behoorlijk statisch is. Een auto heeft een bepaalde waarde en op basis daarvan wordt de verzekeringspremie bepaald. Echter iedereen weet dat een auto die stil staat minder risico loopt schade te krijgen dan een rijdende auto. Via m-commerce kan een dynamische autoverzekering worden aangeboden. Een klant geeft via het mobiele net aan dat hij gaat rijden of de auto doet datvia een ingebouwde processor automatisch zelf. De verzekeringspremie stijgt. Zodra de autoweer stil staat, gaat de premie weer omlaag. Aan het einde van de maand wordt de totale premie van die maand opgemaakt en afgerekend. Dit idee kan alleen maar worden uitgevoerd, als de verschillende branches nauw samenwerken. De verzekeraar heeft de auto-industrie nodig, een bedrijf dat de mobiele apparatuur ontwikkelt, de telecomoperators voor de verbinding, beveiligers om te voorkomen dat mensen ‘gratis’ rijden, enzovoorts. De business consultant van bijvoorbeeld CGEY adviseert over wat de mogelijkheden zijn van m-commerce voor de klant. Adviezen voor een IT-enabled transformation. De bedrijfsvoering wordt aangepast op basis van nieuwe technologie in plaats van dat een bedrijfsprobleem de aansturende factor is in de vernieuwing.
Petra van Krugten-Elgersma - © Cap Gemini 2000
8
InfoSecurity 2000 – M-commerce en Security
(version 1.0)
23/9/2000
Verder kan CGEY als Mobile Service Chain Moderator fungeren tussen de verschillende partijen die de service offering ‘m-commerce’ willen bieden. CGEY beschikt over een raamwerk voor de ontwikkeling van mobiele oplossingen. CGEY biedt op basis hiervan de klant een lijst met activiteiten aan die zij voor de uitvoering van het project ter overweging kan nemen. Kortom: we zijn in staat om maatwerk oplossingen te leveren op het gebied van mobiele communicatie, mee te denken over de daarvan afgeleide benodigde m-commerce diensten en de ontwikkeling ervan.
Recapitulatie In deze lezing is eerst besproken wat m-commerce nu eigenlijk is en waarom je het zou willen hebben. Vervolgens is ingegaan op de beveiligingsaspecten: • Anonimiteit • Identificatie • Bescherming van transactie en niet te anonimiseren gegevens Het nut en de mogelijkheden van de digitale handtekening, versleuteling van gegevens, SIM en PKI technieken zijn aan de orde geweest. Tenslotte is ingegaan op de vraag of m-commerce en beveiliging een issue is en de invloed van de massamarkt hierbij. Als laatste is inzage gegeven in de hoeveelheid partijen die bij de ontwikkeling van een m-commerce oplossing zijn betrokken.
Petra van Krugten-Elgersma - © Cap Gemini 2000
9
InfoSecurity 2000 – M-commerce en Security
(version 1.0)
23/9/2000
De spreker Petra van Krugten-Elgersma werkt als Senior Consultant bij Cap Gemini Ernst & Young Nederland. Op dit moment is het toepassen van de iteratieve werkwijze, met gebruikmaking van Web-Enabled faciliteiten, een van de belangrijke werkgebieden. Kernpunt is het effectief faciliteren van groepsprocessen met gebruikmaking van de moderne communicatie hulpmiddelen. Ander speerpunt is de beveiliging van Internet, intranet en het mobiele net. Petra van Krugten treedt op als spreker over thema’s als web-enablement, Internet, Intranet en beveiliging. Daarnaast geeft zij lezingen over iteratieve ontwikkeling en teamwerk. Sinds begin 1999 maakt Petra van Krugten deel uit van het security netwerk binnen CGEY. Samen met collega’s uit dit netwerk is zij verantwoordelijk voor het creëren van awareness en trainingen op het gebied van beveiliging. Zij heeft namens CGEY verschillende keren op seminars gesproken over informatie beveiliging. Ze heeft trainingen met diverse diepgang over security ontwikkeld en gegeven in binnen- en buitenland. Op dit moment werkt zij in een project waar the-state-of-the-art op het gebied van beveiliging aan de orde is en waar gebruik wordt gemaakt van PKI principes. Bij een grote mobiele operator in Nederland heeft zij architectuur denken voor applicaties en infrastructuren geïntroduceerd. Op het gebied van mobiele communicatie heeft zij een training ontwikkeld voor marketing en sales personeel van een mobiele operator. In deze training werd niet alleen geleerd hoe mobiele apparatuur moet worden geconfigureerd, maar ook hoe de behoefte van de klant kan worden achterhaald en welke set aan mobiele apparatuur de behoefte dan het beste dekt. Voor deze operator heeft zij tevens WAP diensten getest en advies over gegeven. Daarnaast verzorgt zij eBusiness startups workshops (Nederland en Ierland). Naast haar consultancy werk is Petra van Krugten medeauteur van drie boeken. Twee boeken gaan over het iteratief werken: ‘ITC Gids - Iterative Transformation Cycles, Een iteratieve ontwikkelaanpak’, die beschrijft hoe verandering op een iteratieve manier kan plaats vinden vanuit ieder onderdeel in de organisatie. Het tweede boek: ‘IAD Implementatie Gids’ beschrijft hoe een iteratieve werkwijze voor systeem ontwikkeling kan worden geïmplementeerd. Zij is medeauteur van het boek ‘Work-groups and Soft Skills’, een boek over teamwerk en de projectmanagement vaardigheden die daar bij nodig zijn. Het boek geeft waardevolle adviezen voor mensen die in teams werken of die groepsprocessen faciliteren. Petra van Krugten heeft op grond van deze drie boeken trainingen ontwikkeld en gegeven. De drie boeken werden samen met Mark Hoogenboom gemaakt. Op dit moment werkt zij met twee collega’s aan het manuscript “de Mobiele Samenleving”. De verwachting is dat dit boek in februari 2001 zal uitkomen. Petra van Krugten schrijft samen met collega’s columns voor Software Release Magazine (Nederland), TelOSSource (USA) en Traffic Technology International (United Kingdom). Verder zijn artikelen van uiteenlopende aard in verschillende gerenommeerde tijdschriften gepubliceerd. Het betreft artikelen over beveiliging in een Internet wereld, het stimuleren van Floating Car Data toepassing op grote schaal en het reguleren van verkeersstromen op basis van mobiel Internet faciliteiten.
Petra van Krugten-Elgersma - © Cap Gemini 2000
10
