vincent Van Quickenborne Niet meer naar het gemeentehuis dankzij elektronisch burgerloket Becommerce Veiligheid is de hoeksteen van e-commerce

Transcriptie

1 EEN KRANT GEPRODUCEERD DOOR MEDIAPLANET Becommerce Veiligheid is de hoeksteen van e-commerce vincent Van Quickenborne Niet meer naar het gemeentehuis dankzij elektronisch burgerloket INFORMATION Maart 2009 SECURITY Foto: istockphoto.com - joruba 14 TIPS voor de zakenreiziger Beveiliging is geen louter IT aangelegenheid Netwerk - en backendbeveiliging onlosmakelijk met elkaar verbonden een krant geproduceerd door mediaplanet

2 INFORMATION SECURITY Informatiebeveiliging moet een blijvende zorg zijn De goede werking van onze maatschappij en onze economie is in toenemende mate afhankelijk van de kwaliteit en de veiligheid van onze informatienetwerken en -systemen en van hun correct gebruik. Maar precies die informatiesystemen zijn vandaag kwetsbaarder dan ooit door de onderlinge verbindingen van meerdere netwerken waardoor allerlei vormen van aanvallen vergemakkelijkt worden: fysieke en softwarematige aanvallen op infrastructuren en systemen, oplichting, aantasting van de persoonlijke levenssfeer, verspreiding van illegale informatie zoals kinderpornografie, economische spionage. Jan Deprest Voorzitter directiecomité Fedict Nood aan beveiligingsbeleid Het is daarom van essentieel belang dat we de evolutie van die bedreigingen aandachtig volgen en de zwakke punten van onze informatiesystemen in kaart brengen. Daarnaast moeten we de informatie over veiligheidsincidenten die zich in ons land voordoen verzamelen en analyseren om gepast te kunnen reageren. Tegelijkertijd moeten we de maatschappij (burgers, kleine en grote organisaties) informeren over de nodige preventieve en corrigerende maatregelen. Onder impuls van Fedict, de Federale Overheidsdienst Informatie en Communicatie technologie, heeft de ministerraad daarom eind 2005 een overlegplatform opgericht dat de opdracht kreeg de uitdagingen rond informatieveiligheid aan te pakken. BeNIS, wat staat voor Belgian Network Information Security, heeft experten van Fedict en andere overheidsinstellingen samengebracht rond informatie beveiliging. In 2007 hebben zij een white paper uitgewerkt waarin niet alleen de tekortkomingen van de huidige beveiliging worden toegelicht, maar waarin Mediaplanet produceert, financiert en ontwikkelt themakranten In pers, online en via broadcasting. ook praktische voorstellen geformuleerd worden om een degelijk nationaal informatie beveiligingsbeleid op poten te zetten. Nu was de tweede helft van 2007 helemaal geen geschikt moment om met dit document naar buiten te komen, gezien de bestuurssituatie waarin ons land zich toen bevond. Maar we hebben de waakvlam brandende gehouden tot we terug een regering hadden waarmee we de discussie ook politiek konden voeren. We hebben intussen ook al samengezeten met de werkgroep die in september vorig jaar het witboek Naar een Belgische Strategie voor Informatiebeveiliging publiceerde. Met specialisten uit die werkgroep van van onder meer de KUL, de Solvay Business School, LSEC, ISSA, ISACA, Infopole Cluster TIC en CETIC hadden we constructieve gesprekken. Vier prioriteiten Van de negen projecten die uit onze white paper naar voor gekomen zijn, hebben we nu vier prioriteiten gedistilleerd. De eerste is het opzetten van het CSIRT, het Computer Security Incident Response Team, dat ervoor moet zorgen dat de Belgische economie en maatschappij beschermd zijn wanneer er zich een aanval voordoet. De tweede prioriteit beantwoordt aan een Europese richtlijn van december 2008 die zegt dat elk land tegen eind 2010 een overzicht moet hebben van zijn kritische infrastructuur, in de eerste plaats voor de sectoren energie en mobiliteit. De bedoeling is dat wij met de FOD Economie en de FOD Mobiliteit tot een beschermde database komen waarin we de kritische ICT-infrastructuur niet alleen bij de overheid maar ook in de verschillende sectoren opsommen en samen met het crisiscentrum van Binnenlandse Zaken kijken hoe we dat kunnen beheren. De derde prioriteit ligt intern bij de federale overheid. Wanneer je continu met alle sectoren over beveiliging praat, moet je zelf ook wel het goede voorbeeld geven, en dus moeten we in de eerste plaats de informatiebeveiliging op federaal niveau stroomlijnen. We starten nu met veiligheidsadviseurs voor heel het federale niveau die mee information security policies opstellen en de medewerkers bewust maken van wat er gebeurt en wat ze moeten doen. Daarvoor worden momenteel een wet en een aantal Koninklijke Besluiten voorbereid. En een vierde element heeft betrekking op de evaluatie, certificatie en homologatie van systemen die gevoelige informatie verwerken. Wij hebben nood aan een entiteit op federaal niveau die de veiligheid van de producten certifieert. Momenteel moeten Belgische bedrijven daarvoor naar het buitenland met hun producten, en dat is vervelend. Probleem van eenieder Daarnaast zijn er uiteraard nog heel wat initiatieven die vandaag al bestaan, zoals FCCU, Federal Crime Computer Unit, die zeer goed werk leveren. Die initiatieven laten we zeker verder werken, net zoals we ook dat overlegplatform zeker in stand willen houden. Er zijn ook initiatieven genomen om informatiebeveiliging als een cultuur mee te geven, om de mensen te sensibiliseren. Uiteindelijk is veiligheid het probleem van eenieder, ook van de burger. Want we moeten ons geen begoochelingen maken: information security moet een blijvende zorg zijn: er zullen nu eenmaal altijd mensen en organisaties zijn die willen inbreken, dat is van alle tijden. Maar het is duidelijk dat we niet bij de pakken blijven zitten, dat we niet passief toekijken ook qua informatiebeveiliging gebeurt er wel degelijk wat in België. En een beurs als Infosecurity is daar het levende bewijs van. Jan Deprest Voorzitter directiecomité Fedict Jan Deprest zal deze white paper verder toelichten op de information security beurs op Donderdag 26 Maart tussen en Voor meer informatie hieromtrent: INFORMATION SECURITY PUBLICATIES MEDIAPLANET PUBLISHING HOUSE Project Manager: Kevin Mottard, Mediaplanet Publishing House B.V Design & repro: Yoram Salamon (K-tactik, ) Redactie: Frans Godden, Johan Dillen, Barbara Vandenbussche Pictures: Print: Corelio Mediaplanet is de leidinggevende Europese uitgever van themakranten in pers, online en via broadcasting. Als u zelf een idee heeft over een onderwerp, of misschien wel een heel thema, aarzelt u dan niet om contact met ons op te nemen. Mediaplanet Publishing House, Aurore Preszow, Country Manager tel: Gedistribueerd met De Standaard op 23 Maart 2009 De digitale samenleving waarin we ons vandaag bevinden biedt ons meer mogelijkheden dan ooit voorheen. Maar dit wil niet zeggen dat we blind mogen zijn voor de gevaren waaraan ze ons blootsteld. Met deze editie willen we bedrijven en consumenten van deze gevaren bewust maken. Niet opdat ze uit de digitale samenleving wegvluchten, maar zodat ze dankzij de instrumenten die we hen in deze editie zullen aanreiken ten volle van al haar mogelijkheden durven gebruik maken. INHOUD Informatiebeveiliging moet een 2 blijvende zorg zijn Beveiliging is geen louter IT 3 aangelegenheid Security is vaak een kwestie van 4 hygiëne Een virtuele haven voor al 5 je documenten Netwerk en backendbeveiliging 6 onlosmakelijk verbonden Beveiliging onderweg heeft zowel 6 een soft- als een hardwarekant België timmert hard aan zijn 7 informatiebeveiliging Websitebeveiliging is een must 8 Wat bezielt een (computer) inbreker 8 eigenlijk? Geen enkele sector nog veilig 9 voor phishing Geen enkele sector nog veilig voor 10 phishing De verborgen schade van een 10 computerinbraak Security policy moet kern van 11 beveiligingsstrategie zijn Maximale beveiligde mobiliteit 12 dankzij USB stick Wapen jezelf voor je online 12 gaat schoppen BeCommerce-label moet e-shoppers 13 vertrouwen schenken Ziekenhuizen kunnen op veilig 13 spelen dankzij barcodes De elektronische factuur kan enorme 14 besparingen opleveren e-citizen: weg met de loketten 14 Een veilig loket via internet. 15

3 INFORMATION SECURITY Beveiliging is geen louter IT-aangelegenheid Informatiebeveiliging wordt soms gepercipieerd als vooral de verantwoordelijkheid van IT, maar in onze ogen is ook een heel grote rol weggelegd voor verschillende businessdepartementen. Dat is de mening van Steven De Haes van UAMS en professor Wim Van Grembergen van de Universiteit Antwerpen. Snel en flexibel kunnen beschikken over betrouwbare informatie vormt een belangrijk onderdeel van het zakenleven, omdat informatie in vele gevallen de onderscheidende productiefactor is die het mogelijk maakt tijdig de juiste beslissingen te nemen en zo misschien een concurrentieel voordeel te behalen. De hoeveel heid aan informatie is met de jaren exponentieel gegroeid en zal nog sneller groeien, als we een recent rapport van IDC mogen geloven, dat voorspelt dat in 2011 de digitale wereld (digital universe) tien keer groter zal zijn dan in Informatie is dus ontegensprekelijk een van de waardevolle bezittingen van een bedrijf. Ervoor zorgen dat deze informatie niet in verkeerde handen valt en voorkomen dat ze al dan niet bewust verkeerd gebruikt wordt door zowel mensen binnen als buiten de organisatie, moet dan ook als prioritair worden gezien. Een falend beleid rond informatiebeveiliging kan logischerwijze nefaste gevolgen hebben. Een businessrisico Wim Van Grembergen, professor aan de Faculteit Toegepaste Economische Wetenschappen, departement Beleidsinformatica van de Universiteit Antwerpen, windt er geen doekjes om: In essentie gaat het hier om een serieus businessrisico waar eigenlijk vanuit de business te weinig aandacht aan besteed wordt. De hele beveiligingsproblematiek komt dikwijls pas naar boven op het moment dat zich een catastrofe heeft voorgedaan, en dan wordt vaak naar IT gekeken, maar die mensen hebben doorgaans niet de middelen of de opdracht gekregen om daar werk van te maken, en Steven De Haes Coördinator Information Systems Management aan UAMS (Universiteit Antwerpen Management School) en senior researcher aan het ITAG Research Institute. ook onvoldoende autoriteit. Het is juist de taak van de business op voorhand te bepalen wat precies moet beveiligd worden en in welke mate, want niet alles heeft dezelfde graad van beveiliging nodig. Natuurlijk wordt informatie in organisaties veelal beheerd en verwerkt in IT-systemen en dus heeft het IT-management een belangrijke verantwoordelijkheid om de beveiliging binnen en rond deze systemen te waarborgen. Maar het gaat niet op om alles op de nek van IT te schuiven en te stellen dat IT het maar moet oplossen als het fout loopt, stelt Steven De Haes, coördinator Information Systems Management aan UAMS (Universiteit Antwerpen Management School) en senior researcher aan het ITAG Research Institute. Eigenlijk komt het altijd op hetzelfde neer: het aligneren van business en IT. Informatie-beveiliging is niet louter een opdracht voor IT, maar integendeel in hoge mate de verantwoordelijkheid van het hogere businessmanagement dat een duidelijke beveiligingsstrategie moet omschrijven die ge-ïntegreerd kan worden in alle bestaande bedrijfsprocessen. Met COBIT De Haes en Van Grembergen hebben tijdens hun onderzoek vastgesteld dat er in veel bedrijven nog weinig of geen sprake is van een security policy, een beveiligingsbeleid, en dat het nog te veel bij losse initiatieven blijft. Nochtans bestaat er een praktisch raamwerk voor informatiebeveiliging, COBIT, wat staat voor Control Objectives for Information and related Technologies, zegt Van Grembergen. Daarin staan gedetailleerde praktijken beschreven voor IT beveiliging in een logisch raamwerk van 34 IT-processen, maar als we in organi-saties gaan kijken hoe het gesteld is met de maturiteit van dat raamwerk, dan is dat vaak een ontgoocheling, tenzij er zich net een catastrofe heeft voorgedaan. Klopt, zegt Steven De Haes, We hebben dat duidelijk gezien na de aanslagen van 11 september in de VS: toen was er een verhoogde aandacht voor de beveiligingsprocessen, maar intussen is die aandacht alweer wat verslapt. Weet je, de security staat in COBIT wel duidelijk omschreven, maar.eigenlijk komen die beveiligingselementen ook in heel veel andere processen terug. Het is geen geïsoleerd, maar een geïntegreerd IT-en businessproces met gedeelde verantwoordelijkheden. Samenwerking met HR Precies daar zit volgens Wim Van Grembergen nog een ander probleem: IT kan de nodige tools inzetten om bij de beveiliging ervoor te zorgen dat alleen de juiste mensen de juiste dingen kunnen doen, maar er is een Wim Van Grembergen Professor aan de faculteit economische wetenschappen departement beleidsinformatica aan de universiteit van Antwerpen intense samenwerking nodig met vooral het HR departement om de profielen van die mensen te kennen. Ik neem het voorbeeld van iemand die het bedrijf verlaat: dan moet er een juiste procedure bestaan opdat HR dit meldt aan IT zodat op een bijna geautomatiseerde manier alle mogelijke toegang tot het bedrijfsnetwerk voor die persoon dan afgesloten wordt. En heel vaak gebeurt dat niet; men laat het gewoon aan IT over, maar daar is men niet noodzakelijk op de hoogte van die nieuwe situatie. Volgens Steven De Haes worden we daar met de scheiding van de verantwoordelijkheden geconfronteerd. Het is de verantwoordelijkheid van HR om de securityvereisten voor die persoon vast te leggen en het is de verantwoordelijkheid van IT om die in de praktijk uit te voeren. Maar IT kan dat niet uitvoeren als HR niet op een correcte manier de parameters heeft vastgelegd!. En Wim Van Grembergen vult aan: Wat je dus eigenlijk nodig hebt, is een governance structuur, want ITsecurity vertrekt eigenlijk vanuit business security, op een hoger niveau. Nieuwe oriëntatie Beide onderzoekers ergeren zich ook aan het feit dat men in sommige organisaties wel de functie van Security Officer gecreëerd heeft (onder meer in de bankwereld is men verplicht een dergelijke functie te hebben), maar dat die functie vaak niet onderbouwd is door onderliggende processen die ze moeten voeden. Steven De Haes: Security is natuurlijk wat ik zou noemen moeilijk geld : er wordt vaak pas aandacht aan besteed als er iets misloopt. Pas dan worden er wél budgetten vrijgemaakt om iets op de rails te zetten. Belangrijk is volgens hem wel de mindshift die COBIT ondergaat. COBIT is een raamwerk dat in de eerste plaats geschreven is voor ITverantwoordelijken, maar nu komt er een aanvullend raamwerk, Risk IT, dat het belang van de rol van de business sterker in de verf gaat zetten. Er worden daarmee negen businessparocessen rond risk en security management aan COBIT toegevoegd, en dat betekent dat de businessbetrokkenheid veel groter zal worden. Wim Van Grembergen waarschuwt wel dat alle partijen oog moeten hebben voor het eeuwige dilemma tussen gebruiksvriendelijkheid en beveiliging: Je kunt alles afsluiten, maar dan kun je niet meer werken. Je moet een zekere flexibiliteit aanhouden; beveiliging mag geen hindernis worden; en in sommige organisaties is dat helaas wel het geval: alles is afgesloten, je kan bijna niets meer. Precies daarom is het samenspel tussen business en IT zo belangrijk om dat delicate evenwicht te bewaren, besluit hij.

4 INFORMATION SECURITY Security is vaak een kwestie van hygiëne Het is niet omdat je een aantal beveiligingstools koopt dat je security uitdaging opgelost is. Security is een soort hygiëne waarvan de hele organisatie moet doordrongen zijn, en net zoals je zorgt voor je persoonlijke hygiëne moet je ook oog hebben voor die securityhygiëne. Dixit Peter Snauwaert. Het is niet omdat je een aantal beveiligingstools koopt dat je security uitdaging opgelost is. Foto: istockphoto.com - dspn Peter Snauwaert IBM Tivoli Security Een wereldwijd onderzoek van onder meer PricewaterhouseCoopers wees uit dat in 2007 werknemers voor het eerst geciteerd werden als de meest waarschijnlijke oorzaak van veiligheidsincidenten in organisaties. Meer dan de helft van de ondervraagden was van oordeel dat minder dan 75 procent van hun personeel voldeed aan hun beleid inzake informatieveiigheid. En belangrijk: Belgische bedrijven bleken minder beveiligingsmaatregelen te treffen qua opleiding en bewustmaking van hun werknemers. Ook het jaarrapport van de hoogaangechreven U.S. Computer Security nstitute (CSI) kwam tot de vaststelling dat er vandaag meer beveiligingsproblemen zijn door werknemers dan door virussen. Ik kan dat alleen maar bevestigen, zegt Peter Snauwaert van IBM Tivoli Security. Vroeger waren het vooral de hackers die incidenten veroorzaakten, vandaag zien we dat het steeds meer de interne werknemer is die aan de basis ligt van die incidenten. Maar het is niet omdat je een tool koopt dat je securityuitdaging opgelost is. Het is een soort hygiëne, en een bedrijf moet investeren om zijn werknemers bewust te maken van security. Het heeft geen zin om identity management en single signon en een sterke paswoord policy op te zetten als mensen hun paswoord op een papiertje schrijven en tegen hun monitor plakken. Persoonlijke security hygiëne Hij maakt zich ook niet al te veel begoochelingen over security policies. Ja, steeds meer bedrijven hebben een security policy en dat is positief, maar nog al te vaak ligt die ergens in een kast stof te vergaren en wordt hij niet effectief toegepast. En zelfs al heb je een policy en de nodige tools om hem toe te passen, als de mensen niet meewillen, lukt het toch niet die hygiëne moet er zijn. Ik vergelijk het met online banking: men schiet op de banken als er beveiligingsproblemen zijn, maar niemand vraagt zich Johan Beckers IBM Internet Security Systems Solutions Leader af hoe het met de consument zit, want van hem wordt wel verwacht dat hij thuis een goeie firewall heeft, antivirus en dergelijke zijn persoonlijke security hygiëne, zeg maar. Peter Snauwaert krijgt de kriebels van bedrijven waar de CEO tegen de security officer zegt: risk management, dat is jouw probleem Dat is helemaal niet zo, het is voor elke werknemer zoals het arbeidsreglement : je wordt geacht het te kennen en toe te passen als een goede huisvader. Maar weet je wat nog het ergste is : security is vaak niet zichtbaar binnen een bedrijf, en in tijden van crisis begin men er dan op te besparen tenzij er natuurlijk iets ernstigs gebeurt en men intellectual property aan het verliezen is of faalt voor security audits. Hij pleit dan ook voluit voor gedeelde verantwoordelijkheden binnen een bedrijf. Wij zien al langer dat het niet meer volstaat een persoon de juiste accounts toe te kennen, het is minstens even belangrijk te weten wat die persoon nu juist met die accounts doet. Daarom ook is het van belang dat gemeld wordt wie het bedrijf verlaat zodat die account automatisch kan afgesloten worden. Security auditors kijken daar streng op toe op, maar dat vraagt een natuurlijke samenwerking tussen HR en IT. Grijze zone Waar vroeger backend en frontend security vrij gescheiden domeinen waren, krijg je nu steeds meer overlappingen, zegt Johan Beckers, IBM Internet Security Systems Solutions Leader. Alles wordt met elkaar verbonden, interne en externe security, je kan dat niet meer los zien van elkaar, en dat is ook de reden waarom wij met IBM een Security Framework hebben opgezet waarin je een mix van diensten en harden software-oplossingen vindt. Wij gaan altijd samenzitten met de klant om te kijken waar vandaag zijn zwakke punten zijn, waar hij al dan niet al geïnvesteerd heeft in security. En we gaan ook na wat vandaag zijn grootste bezorgdheid is : zijn het datalekken, of risk management, of privacy, of availability?. Er is volgens Peter Snauwaert nog een andere reden voor die overlapping. Vandaag is iedereen met iedereen verbonden, de interne en de externe wereld vloeien steeds meer in elkaar, klanten en derden en leveranciers krijgen toegang tot bepaalde portals en data in de onderneming zelf, en zo komen ook interne en externe security steeds vaker samen. Netwerken Internetsecurity zijn nu één groot kluwen geworden, met een waaier van facetten, en dat gaat veel verder dan firewall en anti-virus. Toch mag je ook niet overdrijven, waarschuwt hij. Het is zoals met een woning : als je wil dat er niemand meer binnenkan, dan timmer je de ramen dicht en haal je de deur weg. Zo ook kan je een PC perfect beveiligen door je netwerkkabel uit te trekken. Maar dan kan je natuurlijk niet meer werken. Het is altijd een beetje dansen op een slappe koord, een evenwicht zoeken tussen het werkbare en het zo secuur mogelijk beveiligen van je organisatie.

5 INFORMATION SECURITY Een virtuele haven voor al je documenten Het verwerken en bewaren van informatie is een van de kernfuncties van de computer. Maar de toepassing is zijn fysieke beperkingen stilaan aan het ontgroeien. Wie zijn data op een veilige en flexibele manier wil bewaren, kan tegenwoordig een beroep doen op een heel scala van oplossingen op vlak van hardware, software en services. tekst: Barbara Vandenbussche Vooral in deze tijden van economische terugval blijken bedrijven het belang in te zien van een zo efficiënt mogelijk gebruik van hun opslagruimte Foto: istockphoto.com - Wellmony Opslagfaciliteiten evolueren naar een brede totaaloplossing binnen zowel grote ondernemingen als KMO s, vertelt Eddy Blancquaert van IBM. Meer en meer spreken we van een dynamische infrastructuur, die zich feilloos kan aanpassen aan de mogelijk snel veranderende noden van de klant. Specifiek voor gegevensopslag moet deze infrastructuur een duidelijk en continue antwoord bieden op vier fundamentele uitdagingene Infor mation Compliance,om risico s te verminderen en auditfalen te vermijden; ainformation Retention, het beleid rond het bijhouden van informatie; Information Security, waarbij we gegevens beschermen en zorgen voor een veilige uitwisseling van informatie; en tot slot Information Availability, het leveren van continue en betrouwbare toegang tot de informatie. Virtualisatietechnieken zoals onze SAN Volume Controller (SVC) maken bovendien de flexibiliteit voor de bedrijven groter, doordat bedrijven niet meer gebonden zijn aan een bepaald merk van harde schijven. Ze kunnen hun schijven van een andere leverancier gewoon behouden, en toch gebruik maken van die virtualisatie. Bijkomend voordeel voor de klant: data kunnen transparant, dus zonder de applicatie te stoppen, verplaatst worden van oude technologie naar up-to-date technologie. Klanten hebben de keuze om welk opslagsysteem dan ook te gaan gebruiken op een transparante manier. Hun oude technologie gaat bovendien niet verloren, want die kan nog gebruikt worden als back-up of voor het archiveren van databestanden. Naast die flexibilisering krijgt de gebruiker tegelijk ook meer controle, want dankzij de SVC is een centraal beheer van alle opslagfaciliteiten mogelijk. Ook al werk je in een heterogene omgeving, je hebt maar één console nodig, en je hoeft niet meer apart op de verschillende boxen te gaan om iets te zoeken. Zo is het voor administrators veel makkelijker om bijvoorbeeld vrije ruimte te vinden of om data te verplaatsen. Teruggewonnen investering Vooral in deze tijden van economische terugval blijken bedrijven het belang in te zien van een zo efficiënt mogelijk gebruik van hun opslagruimte. Dikwijls kopen ondernemingen tientallen terrabytes opslagcapaciteit aan, waarvan ze maar een klein percentage ruimte gebruiken. Wanneer ze die efficiëntie kunnen verhogen van pakweg 50 tot 80 of 90 procent en bovendien onnodige gegevens moeiteloos en doeltreffend kunnen verwijderen, hebben ze hun investering in een virtualisatieoplossing zoals SVC al snel teruggewonnen. Vooral bij KMO s blijkt er bovendien heel wat interesse te bestaan voor de mogelijkheden die virtuele toepassingen bieden op het vlak van disaster recovery en het kopiëren of klonen van gegevens voor verschillende gebruikers. Minstens even belangrijk is efficiënt documenten beheer. Softwaresuites maken bijvoorbeeld komaf met ongebruikte achtergebleven data op harde schijven door deze automatisch te verplaatsen naar een andere drager. Dit voorbeeld maakt duidelijk hoe de verschillende componenten hardware, software en services één geheel vormen. Dat heeft ook zijn gevolgen voor de klantenrelaties. In tegenstelling tot vroeger, toen ze gewoon losse dragers aankochten, gaan bedrijven nu ook voor storage een langetermijnrelatie aan met hun dienstverlener om een oplossing uit te werken die afgestemd is op hun behoeften.

6 INFORMATION SECURITY Netwerk- en backendbeveiliging onlosmakelijk verbonden Beveiliging in een bedrijf gaat veel verder dan het plaatsen van een firewall ergens op het netwerk: het is een end-to-end aangelegenheid van frontend tot backend, waarbij security geïntegreerd dient te zitten in elke netwerkcomponent en er samenwerking moet zijn tussen alle security-functionaliteiten, zegt Ron Jacobs, sales business development manager bij Cisco Systems Nederland. Ron Jacobs Sales business development manager bij Cisco Systems Nederland. Backend security is een vlag die heel wat ladingen kan dekken, al naargelang de diensten of producten die een bedrijf aanbiedt. Voor softwareleveranciers betekent het de beveiliging van hun toepassingen, voor databaseleveranciers het veiligstellen van hun gegevens, en voor serverfabrikanten het beveiligen van de server infrastructuur. Specifiek voor het netwerk is het belangrijk dat switches, routers, en voice- en video-infrastructuur door de leverancier al voorzien zijn van de nodige beveiligingsmaatregelen. Daarbij heeft de klant uiteraard nog altijd de keuze of hij al dan niet gebruik wil maken van deze beveiligingen, licht Ron Jacobs toe. Maar daarnaast bestaan er natuurlijk nog specifieke producten die voor de beveiliging van de volledige backend kunnen zorgen, zoals netwerkapplicatie, firewalls, IPSystemen of opslagbeveiliging. Belangrijk is daarbij dat een bedrijf beseft dat beveiliging geen point solution is maar een totaaloplossing moet zijn. End-to-end Volgens Jacobs vervaagt de grens tussen netwerk- en/of internetbeveiliging steeds meer door de manier waarop bedrijven alsmaar intensiever en gepersonaliseerder met hun afnemers en partners samenwerken. De relatie tussen consument, werknemer en werkgever wijzigt sterk in een Web 2.0 omgeving, en wordt nog versterkt door het fenomeen van mobiel werken. Qua beveiliging gaat het erom dat de totale dienstverlening wordt gewaarborgd op het vlak van integriteit, betrouwbaarheid en continuïteit. Elke schakel in de keten speelt hierbij een even belangrijke rol, en precies daarom is beveiliging niet enkel een kwestie van ergens een firewall te plaatsen maar wordt het integendeel een end-to-end aangelegenheid waarbij security geïntegreerd zit in elke netwerkcomponent en de verschillende security-oplossingen ook effectief samenwerken. En het netwerk is hiertoe het ideale platform, omdat het alle schakels met elkaar verbindt en op die manier een totale beveiliging kan waarborgen, aldus Jacobs. Hij verheelt niet dat werknemers een cruciale rol spelen in het verzekeren van die beveiliging. Bedrijven als Cisco investeren dan ook veel in oplossingen die niet alleen naar het netwerk- en applicatiegedrag van die werknemers kijken en eventueel ingrijpen indien nodig, maar ook verhinderen dat bepaalde informatie het bedrijf zou verlaten data loss prevention dus. Foto: istockphoto.com - Mishooo Beveiliging moet een totaaloplossing zijn Beveiliging onderweg heeft zowel een softals een hardwarekant 14 TIPS voor de zakenreiziger Foto: istockphoto.com - Melnny Volgens een recente studie van het Ponemon Institute verliezen zakenmensen wekelijks zo n laptops, en bij amper een derde daarvan zou de informatie beschermd zijn. Sterker nog, elke 50 seconden verdwijnt er een laptop op een vliegveld ergens in de VS. Laptops die na een bepaalde tijd niet worden opgevraagd, worden door vliegtuigmaatschappijen niet zelden te koop aangeboden op veilingen. En dat betekent dat gevoelige bedrijfsinformatie gewoon in handen kan komen van de hoogste bieder. Maatregelen nemen om dit te vermijden is dus geen overbodige luxe. We zetten er een aantal op een rijtje. Zorg er eerst en vooral voor dat je al je 1gegevens geback-upt hebt alvorens je vertrekt, en zet de meest gevoelige informatie op een geëncrypteerde USB-stick die je los van je laptop meeneemt. Draag je laptop zo mogelijk in een onopvallende tas zonder de merknaam 2 van de computer. Steek hem zeker nooit in de valies die 3 je incheckt - het risico dat hij stuk gaat of gestolen wordt is dan zeer groot. Houd je laptop maximaal in t oog wanneer je door de metaaldetector moet, 4 en zorg dat hij duidelijk voorzien is van een label met je persoonlijke gegevens. Laat nooit je laptop onbewaakt achter, 5 ook niet wanneer je maar even je hotelkamer verlaat. Werk je op een publieke plaats, gebruik 6 dan bij voorkeur een kabelslot of een andere mechanisme dat potentiële dieven al twee keer doet nadenken alvorens ze met je laptop aan de haal proberen te gaan. Vermijd een publiek netwerk te gebruiken waarvoor je geen paswoord moet 7 ingeven - tenzij je bedrijf een VPN-functie voorzien heeft. Doe zeker nooit financiële transacties 8 onderweg, tenzij je honderd procent zeker bent dat je op een beveiligd netwerk zit. Gebruik complexe paswoorden en 9 verander ze regelmatig. Zorg dat je anti-virus en anti-spyware software altijd up-to-date 10 zijn. Gebruik je geen laptop maar een 11 publieke computer in bijvoorbeeld een hotel of een bibliotheek, weet dan dat er keyloggers kunnen op geïnstalleerd zijn die elke toetsaanslag registreren en zo achteraf criminelen in staat stellen je paswoorden en gebruikersnaam te achterhalen. Wis op zo n computer na het surfen 12 de browsergeschiedenis zodat er geen sporen overblijven van cookies of bezochte Websites Gebruik als het kan laptop recovery 13 en tracking software. Wordt je laptop toch gestolen, dan kan die in veel gevallen dankzij dergelijke programma s via het IP-adres gelokaliseerd worden zodra de dief ermee op het Internet komt. Nog een laatste waarschuwing : 14 vooral in de VS komt het steeds vaker voor dat veiligheidsmensen een laptop in beslag nemen om welke reden dan ook en de volledige inhoud van de harde schijf screenen. Soms krijg je hem zelfs pas veel later terug. Steeds meer bedrijven beginnen daarom aan hun medewerkers een lege laptop mee te geven waarop geen gevoelige bedrijfsinformatie staat. Eenmaal op hun bestemming loggen de zakenmensen aan op de Website van hun bedrijf en downloaden de bestanden die ze nodig hebben. Of ze nemen die bestanden apart mee op een USB-stick of een geheugenkaartje (dat je gemakkelijk onopvallend in je portefeuille of geldbeugel kan steken). Cisco - The Self Defending Network Cisco - Protects your network, your data and your employees Cisco Solutions are fast, smart and reliable and meet all needs Visit now

7 INFORMATION SECURITY België timmert hard aan zijn informatiebeveiliging De problemen rond de vorming van een nieuwe regering mogen de plannen voor informatiebeveiliging in ons land dan wel tijdelijk op ijs gezet hebben, het betekent niet dat er achter de schermen niet hard aan gewerkt is. De voorstellen van het BELNIS-overlegplatform zijn nu klaar om in concrete projecten gegoten te worden. Bij ons geen lekken zoals bij buitenlandse overheidsdiensten Foto: istockphoto.com -Thomas_EyeDesign Het is onmiskenbaar dat ons land vandaag zwakke punten vertoont tegenover allerhande dreigingen van buitenaf. Bepaalde internationale verplichtingen worden slecht nageleefd; de bescherming van de kritieke informatie infrastructuur is niet verzekerd; en burgers, publieke en privé-organisaties zijn zich erg ongelijkmatig bewust van de veiligheidsproblematiek. Kortom, er is dringend nood aan een gefundeerd nationaal beleid voor de informatieveiligheid, waarvoor op alle niveaus de nodige middelen worden vrijgemaakt. Al jaren geleden waren wij ons daar terdege van bewust, zegt Jan Deprest, voorzitter van het directiecomité van Fedict, de Federale Overheidsdienst voor Informatie en Communicatietechnologie zeg maar de overkoepelende ITpoot van de federale overheid die in 2002 werd opgericht. Dat is ook de reden waarom de ministerraad in 2005 beslist heeft een forum te creëren dat zich specifiek met informatiebeveiliging zou bezighouden. Alle belangrijke spelers Dat overlegplatform, BELNIS of Belgian Network Information Security, bestaat uit vertegenwoordigers en experten van de federale diensten die zich in België met deze materie bezighouden: de Commissie voor de bescherming van de persoonlijke levenssfeer, de Nationale Veiligheidsoverheid (NVO, Buitenlandse Zaken), de Algemene Dienst Inlichtingen en Veiligheid (ADIV), de Staatsveiligheid, het Belgisch Instituut voor Postdiensten en Telecommunicatie (BIPT), de Federal Computer Crime Unit (FCCU, Federale Politie), Controle en Bemiddeling (FOD Economie), Fedict, de Kruispuntbank van de Sociale Zekerheid (KSZ), en het Crisiscentrum (Binnenlandse Zaken). Een erg verscheiden ploeg, maar net daarom zo waardevol omdat zij allemaal een ander aspect van onze nationale veiligheid vertegenwoordigen en bewaken, zegt Jan Deprest. Samen hebben zij in 2007 een white paper opgesteld: Voor een Nationaal Beleid van de Informatieveiligheid. Het is een consensus tussen al die mensen die weergeeft hoe wij enerzijds willen komen tot een informatieveiligheidsstrategie en anderzijds daaruit informatieveiligheidspolicies willen distilleren. In totaal zijn daar nu negen projecten uit gedefinieerd die dat nationale informatieveiligheidsbeleid zouden moeten structureren volgens verschillende assen. Negen assen Die assen of projecten zijn: de definitie van een nationale strategie; de globale beheersing van de risico s, maatschappij voorlichting en crisisbeheer; het opstellen van wetten en reglementen; de vervolging van computercriminaliteit ;de bescherming van de informatiesystemen van de overheid; evaluatie/certificatie en homologatie van de systemen die gevoelige informatie verwerken; de organisatie van de opleiding; de vertegenwoordiging bij de internationale instanties; en de samenwerking tussen de openbare sector en de privésector. Voor elk van die projecten zijn er al budgetramingen gemaakt, dus er wordt wel degelijk concreet aan gewerkt, vult Deprest aan. Intussen loopt op het federale niveau ook een sensibilisering voor die informatiebeveiliging. Er zijn duidelijk mensen bij alle ministeries die zich heel goed bewust zijn van de gevaren die we lopen. Maar beveiliging bij sociale zekerheid en volksgezondheid is toch nog altijd iets anders dan bij mobiliteit of economie: elk heeft zijn eigen specificiteiten, zijn eigen referentiekader, zijn gewoontes en vooral zijn eigen specifieke problemen. Dat allemaal in een eenheidsworst gieten is niet goed. We moeten komen tot een forum waar we ideeën kunnen uitwisselen; waar iedereen binnen zijn omgeving doet wat hij moet doen om die te beschermen, maar tegelijkertijd ook openstaat voor communicatie om mekaar te helpen. Consensus zoeken onder mensen werkt altijd veel beter dan iets proberen door de strot te duwen, en ik denk dat we daar echt op de goeie weg zijn. Informatie centraal houden Jan Deprest schudt meewarig het hoofd als we hem berichten uit buitenlandse media voorleggen waarin voortdurend lekken bij overheidsdiensten gemeld worden. Niet bij ons, stelt hij met klem. Onze aanpak is totaal verschillend: wij proberen zo weinig mogelijk informatie te verspreiden, maar wel zoveel mogelijk centraal te verzamelen en die dan toegankelijk te maken via een kruispuntfunctie omdat je op die manier alles veel beter kunt controleren. Je moet dan doorheen vele lagen gaan en zal altijd maar juist die informatie te zien krijgen die je nodig hebt en waarvoor je geautoriseerd bent; de rest niet. Bij ons zijn situaties met USB-sticks met duizenden gevoeligegegevens op die verloren geraken dus weinig waarschijnlijk. Hij beseft natuurlijk ook wel dat alles binnen de juiste proporties moet blijven: je moet altijd een evenwicht zoeken tussen proactief en repressief werken. Hij verwijst daarbij als voorbeeld naar de mobiele werkers. We werken met VPN en SSL; https; met tokens; met certificaten die regelmatig vernieuwd worden; en uiteraard met eid, de elektronische identiteitskaart. eid staat voor ons echt centraal: overheidswebsites worden vandaag met de eid geprogrammeerd. Louter user ID en paswoord gebruiken we niet meer. Vooral als je privacy-informatie gaat pushen, kun je niet meer zonder eid. Jan Deprest heeft er een goed oog in, de prioriteiten voor een informatiebeveiligingsstrategie zijn vastgelegd en de eerste praktische stappen zijn al gezet. Weet je, eigenlijk maak me niet zoveel zorgen om veiligheid, zolang we er ons maar van bewust zijn en ermee bezig zijn, besluit hij.

8 INFORMATION SECURITY Websitebeveiliging is een must f en toe lees je erover in de pers: bedrijf X of Y heeft hackers over de vloer gekregen en is zoveel tien- of onderdduizenden gegevens kwijt. Zelden of nooit wordt er over directe schade gesproken, maar heel vaak zijn e verborgen letsels veel groter dan de zichtbare. tekst: Johan Dillen Foto: istockphoto.com -Hidesy IBling start binnenkort als website die gespecialiseerd is in virtuele verkoop. Daarbij wil de site niet alleen de klassieke betalingsmethoden zoals de kredietkaart aanvaarden, maar ook werken via prepaidkaarten die je in de krantenwinkel haalt. Onze bezoekers beschikken zo over geld dat ze op de site kunnen uitgeven, zegt Jan Kindt. Omdat wij met een betalingssysteem werken, komen wij onder de hoede te staan van de Bankcommissie (CBFA). Zij verwachten een kwalitatief niveau van beveiliging van ons, legt Kindt uit. Veiligheid is voor ons niet zomaar een vereiste: dit aspect is voor ons van cruciaal belang. Het bepaalt namelijk of wij s avonds met een gerust gemoed kunnen gaan slapen of niet, beweert Kindt. Dertig à veertig procent van onze focus gaat naar beveiliging. Zowat een derde van onze activiteit bestaat uit het testen van de security. Dat we dat zelf niet zouden kunnen, was een belangrijke stap in het beslissingsproces. We hebben de mogelijkheden wat veiligheid betreft, bekeken op diverse vakbeurzen en hebben dit ook met onze applicatieontwikkelaar The Reference besproken. Nadat we het aanbod op de markt hebben bekeken, zijn we uiteindelijk met Zion Security in zee gegaan vanwege van hun expertise en ervaring in deze complexe materie. Voor een bedrijf dat heel wat gevoelige data van zijn klanten via de website ziet passeren, is veiligheid van essentieel belang. Daarom hebben we de code van onze toepassing op alle mogelijke manieren laten testen. Specialisten van Zion Security hebben de website proberen te kraken, alsof een aanval van hackers zou plaatsvinden. Via een code-audit geven ze bemerkingen over kwetsbaarheden en aanbevelingen om die op te lossen. Daar-naast wordt ook de in-terne beveiliging bekeken en gecheckt op rekenfouten of on op lettendheden, en hoe die de werking van de site beïnvloeden. Na elke aanpassing van de site, wordt de veiligheid opnieuw getest een nogal omslachtig proces, maar voor ons van levensbelang. Uit onderzoek blijkt dat de helft van de e-shoppers afhaakt als ze zich niet veilig voelt of te veel gegevens naar hun gevoel moet ingeven. Honderd procent veiligheid kan niemand garanderen, maar nu kan ik wel geruster slapen. Wat bezielt een (computer)inbreker eigenlijk? Het is een vraag die ongetwijfeld iedereen zich al gesteld heeft die ooit het slachtoffer geworden is van malware; waarom? Er blijken in de praktijk een waaier van motieven te zijn waarom iemand zich op het criminele computerpad begeeft. Ze zijn reeds lang een minderheid, maar toch bestaan ze nog altijd: hackers die het voor de sport doen, om aan te tonen dat er gaten in de beveiliging van een bedrijf zitten. Voor sommigen onder hen is het ook een intellectuele uitdaging eens kijken of ik dat ook kan. Meestal zijn dan sterk beveiligde of heel bekende websites het doel, al zijn dergelijke hackers er niet op uit om publiek (h)erkend te worden. De meeste hackers van vandaag zijn nochtans uit op puur geldgewin, en dat kan zeer vele vormen aannemen. Denk maar aan elektronisch geld overschrijven via skimming, het stelen (en doorverkopen) van waardevolle gegevens, de diefstal van waardevolle diensten (communicatieverbindingen) of capaciteit (data-opslag), van Foto: istockphoto.com -YvanDube intellectuele eigendom (bedrijfs spionage of piraterij), fraude met adressenlijsten, enz. DoS En wat te denken van gijzeling en afpersing op het internet? Er zijn heel wat gevallen bekend waarbij bedrijven losgeld hebben betaald om een einde te maken aan DoSaanvallen, Denial of Service, waarbij criminelen gebruik maken van massa s geïnfecteerde pc s om enorme trafiekvolumes te creëren naar één welbepaalde website, zodat de verbindingen dichtslibben en klanten niet meer tot op die website geraken, en het bedrijf in kwestie dus vleugellam wordt gemaakt. Er zijn zelfs malafide types die dergelijke netwerken van besmette pc s ( zombies in de vaktaal) verhuren aan al wie zo n DoS-aanval wil uitvoeren; net zoals er hackers zijn die bestanden proberen te bemachtigen om ze dan door te verkopen aan spammers. Een aparte categorie vormen hackers die op weerwraak belust zijn, tegenover personen of bedrijven met wie ze in conflict liggen of gelegen hebben. Een bekend geval is dat van een hacker in Queensland, Australië, die de computers van een waterzuiveringsinstallatie kraakte en er de oorzaak van was dat ongezuiverd water in de rivieren terechtkwam. Het kostte hem wel twee jaar gevangenis. Ook schering en inslag zijn gevallen waarbij een werknemer die weet dat hij ontslagen gaat worden, een tijdbom in het informaticasysteem plaatst die ervoor zorgt dat op een bepaald moment, meestal lang nadat hij het bedrijf al verlaten heeft, een vernietigende actie in de computers wordt opgestart zoals het wissen van de database of het wijd en zijd confidentiële bekendmaken van bedrijfsgegevens (salarissen, fabricageprocessen, enz.). Er zijn ten slotte ook steeds meer aanwijzingen dat illegale activiteiten op internet dienen zeggen dat cyberwars niet meer veraf zijn. Geef ons dan maar liever politieke hackers, soms hactivitsts genoemd, die alleen om terrorisme Voorlopig veel gevallen zijn te er bekend financieren. nog waarbij niet terroristen proberen computersystemen, rechtstreeks uit te maar aanvallen voeren insiders op maar websites vredelievende verspreiden (anti-kernwapens kapen om boodschap hun te en dergelijke).

9 INFORMATION SECURITY Geen enkele sector nog veilig voor phishing 9 BEKENDSTE VIRUSSEN Er gaat geen week voorbij of er duikt wel ergens een bericht op over phishing. Foto: istockphoto.com - alan_smithee Er gaat geen week voorbij of er duikt wel ergens een bericht op over phishing. Waar oorspronkelijk bijna uitsluitend banken geviseerd werden of beter: gebruikt werden om nietsvermoedende internetters te misleiden, lijkt tegenwoordig geen enkele sector meer te ontsnappen aan dat soort van criminele activiteiten. En de criminelen worden ook steeds vindingrijker. Al kent ook klassieke phishingfraude nog altijd succes. Vorige lente nog werd de grootste spaarbank van de Tsjechische Republiek, Cesca Sporitelna, het slachtoffer van een phishingscam die zich als een virus over het hele land verspreidde. Het was het klassieke scenario: een met de boodschap dat er iets mis is met je bankrekening en een link naar de rekening die uiteindelijk leidt naar een valse website waar je paswoord wordt geregistreerd en misbruikt. Criminelen gingen vorige zo-mer nog driester tewerk bij de Orange Savings Bank waar ze zowel via als via telefoontjes klanten aanzetten om persoonlijke informatie over hun rekening te geven. In een andere sector werd eind vorig jaar Wal-Mart, de Amerikaanse supermarktreus, het slachtoffer van een phishingcampagne. Klanten kregen een mail met de vraag om deel te nemen aan een kleine enquête en als beloning zou er 90 dollar op hun rekening worden gestort. De link voerde wel naar een enquête, maar niet van Wal-Mart; en dus ook geen 90 dollar, maar wel phishing. En wat te denken van een e- mail die in augustus vorig jaar in Australië circuleerde en waarbij mensen gewaarschuwd werden dat ze een vliegtuigticket gekocht hadden en dat er zo n 500 dollar van hun kredietkaart was gegaan? Het ticket en het ontvangstbewijs waren als bijlage toegevoegd; erop klikken zette meteen de deur open voor criminelen om alle paswoorden en andere confidentiële informatie van je pc te halen. En amper enkele weken geleden geraakte bekend dat ook de populaire zoekmachine Google het slachtoffer geworden was van phishing, meer bepaald zijn Gmail chat accounts. Ook andere chatprotocols zouden rond die tijd aangevallen zijn. Michelangelo was zowat het ergste MS- DOS virus ooit. Het begon vanaf 1991 de boot sector van harde schijven en ook elke floppy die in een pc gebruikt werd te overschrijven. Het bleef maanden verborgen tot het op 6 maart geactiveerd werd en onmiddellijk overal gegevens begon te vernietigen. CIH wordt door velen beschouwd als een van de meest vernietigende virussen ooit. Het dook in juni 1998 op, installeerde zich ongemerkt op een pc en begon dan op een bepaald tijdstip bestanden te overschrijven en soms zelfs de BIOS, zodat je computer niet meer opstartte. Melissa werd in 1999 op de wereld losgelaten en besmette op korte tijd wel 20 % van alle computers wereldwijd (waaronder netwerken van Microsoft en Intel). Het overschreef Word-documenten met citaten uit de tv-reeks The Simpsons. ILOVEYOU werd in 2000 verspreid via met een attachment dat, eenmaal geopend, de computer besmette en zich daarna via de adressen in MS Outlook naar andere computers verspreidde. Het installeerde onder meer een paswoorddief op de computer. Code Red volgde midden 2001 op de hielen van ILOVEYOU. Het richtte zich op computers die Microsoft IIS Web Server draaiden en overlaadde ze zodanig dat alle verkeer stilviel. Nimda ging op hetzelfde pad verder en was zo doeltreffend dat het 22 minuten na zijn eerste melding al het snelst verspreide Internetvirus werd. Klez dat ook in 2001 opdook, maakte gebruik van spoofing om zich als een van een vertrouwde persoon te vermommen. Het nam allerlei gedaanten aan, zelfs die van een anti-virusprogramma. Blaster en Sasser maakten in 2003 en 2004 gebruik van hetzelfde lek in Windows 2000 en XP om honderdduizenden pc s te besmetten en computernetwerken lam te leggen. MyDoom was begin 2004 een van de snelst verspreide virussen ooit. Het gebruikte daartoe niet alleen , maar ook programma s van het peerto-peer-netwerk KaZaA, en creëerde enorme vertragingen op internet.

10 10 INFORMATION SECURITY e verborgen schade van een co Af en toe lees je erover in de pers: bedrijf X of Y heeft hackers over de vloer gekregen en is zoveel tien- of hond over directe schade gesproken, maar heel vaak zijn de verborgen letsels veel groter dan de zichtbare. Een paar jaar geleden was het Londense filiaal van een grote Japanse bank het slachtoffer van hackers die keyloggers installeerden in de software van de bank, en op die manier de gegevens konden bemachtigen van consumenten en bedrijven die geldtransacties deden via het SWIFT netwerk. In totaal schreven de criminelen meer dan 400 miljoen dollar over naar rekeningen in het buitenland. Ze werden echter uiteindelijk betrapt en het geld werd gerecupereerd; anders was het een van de grootste bankinbraken in de geschiedenis geweest. Onder het oppervlak Maar dat cijfer is maar een fractie van de schade die de bank had kunnen lijden. Advocatenkosten, overheidsboetes, verstoorde werking, beursverliezen: allemaal aspecten die erbij komen, maar die uiteindelijk nog verbleken tegenover twee veel zwaardere factoren, met name het verlies van klanten en de schade aan het imago en de reputatie. In sommige sectoren, zoals de bank- en verzekeringswereld, is klantenvertrouwen cruciaal, en als een verhaal in de media over een inbraak laat uitschijnen dat de organisatie in kwestie nogal losjes met klantengegevens omspringt, dan kan de schade aan het imago niet te overzien zijn. Niet dat het financiële plaatje licht moet genomen worden: onderzoek van Forrester Research heeft uitgewezen dat het verlies per bestand al snel kan oplopen van 90 tot 300 dollar. Met andere woorden: het gaat hier om een ernstige inbraak die gemakkelijk miljoenen of zelfs miljarden dollars kan kosten. Eind 2007 maakte TJX, een grote keten van Security policy moet kern van beveiligingsstrategie vormen Naast de technische aspecten spelen bij de beveiliging van een bedrijf nog zoveel andere factoren een rol van betekenis dat een bedrijfsleider echt niet meer zonder een degelijk uitgewerkte security policy kan wil hij alles onder controle kunnen houden, ook en vooral op juridisch vlak. Gerrit Vandendriessche advocaat-vennoot Altius Waar een bedrijf zich terdege van bewust moet zijn, is dat het zowel met externe als interne beveiligingsproblemen te maken kan krijgen, zegt Gerrit Vandendriessche, ICTadvocaat bij Altius, Belgian ICT Law Firm of the Year in 2008 en Met de externe gevaren zijn we doorgaans allemaal vertrouwd: virussen, hacking, phishing, noem maar op. Maar vaak zijn de interne dreigingen veel groter dan de externe: werknemers die hun laptops of hun PDA s verliezen en daardoor niet alleen materiaal maar ook gegevens kunnen kwijtspelen, met het bijkomende risico dat iedereen zich via dat toestel een ongeoorloofde toegang kan verschaffen tot het bedrijfsnetwerk. Een vaak onderschatte andere interne dreiging zijn werknemers die met opzet bedrijfsinformatie ontvreemden of lekken. Imagoschade Vandendriessche verwijst hier naar de media die in het afgelopen jaar herhaaldelijk over dergelijke verloren voorwerpen of datalekken bericht hebben. Hij ziet twee redenen waarom dergelijke feiten vaker het nieuws halen dan vroeger: het feit dat in het bedrijfsleven steeds meer ICT-middelen worden ingezet (laptop, PDA, USB-sticks, thuiswerken, chat, intranet/extranet, sociale netwerken) en dat daardoor ook de impact van beveiligingsinbreuken veel groter wordt. De bedrijven worden zich ook steeds meer bewust van het effect dat zoiets op hun imago kan hebben, bevestigt hij. En uiteraard ook op hun concurrentiepositie wanneer vertrouwelijke gegevens in handen van de concurrentie vallen; om nog maar te zwijgen van boetes of rechtszaken wegens schending van eventuele confidentialiteitsverplichtingen. Helaas is het nog vaak blussen na de brand, een ingreep die zonder uitzondering veel duurder uitvalt dan preventie. Precies daar kunnen wij een belangrijke rol spelen met advies om dergelijke problemen te voorkomen, stelt Vandendriessche. Wij kunnen het gebruik van ICT-middelen in een bedrijf in kaart brengen, samen regels en codes opstellen voor dat gebruik, en ook zorgen voor sluitende contracten met leveranciers van oplossingen voor back-up en disaster recovery, want het heeft geen zin de voordeur op slot te doen als je de achterdeur laat openstaan. En uiteraard leveren we ook al het juridische advies daarrond. Opletten voor valkuilen Dat laatste is niet te onderschatten als je bijvoorbeeld verplicht bent iemand te ontslaan vanwege ongeoorloofd gebruik van of internet, want dat kan volgens Vandendriessche echt een hindernissenparcours worden omdat de minste onnauwkeurigheid achteraf in procedures tegen je gebruikt kan worden. Zorg er daarom voor dat je heel duidelijke regels en policies opstelt, zowel voor het gebruik van materiaal als voor en internet. Let ook op met het monitoren van s of surfgedrag: dat is enkel mogelijk mits de naleving van een aantal regels. Daarom moeten contracten met zowel werknemers als consultants juridisch goed onderbouwd zijn, want stel dat een werknemer of consultant een bedrijfsgeheim ontvreemdt, dan kan die werknemer of consultant je bewijsvoering trachten te kelderen door een schending van CAO s of ongeoorloofde verwerking van persoonsgegevens in te roepen al is de rechtbank recent wat milder geworden voor benadeelde werkgevers. Een heel apart aspect vormt de keuze van de hardware: brengt de werknemer of consultant zijn eigen laptop of PDA mee of wordt hij verplicht het materiaal te gebruiken dat het bedrijf hem ter beschikking stelt? Kies als bedrijf altijd voor de laatste optie, beklemtoont Vandendriessche, want dan kun je al een hoop miserie vermijden. Vooral consultants hebben de neiging hun eigen laptops mee te brengen en te gebruiken tijdens hun opdracht, en dat is potentieel toch een gevaarlijke situatie, want als de opdracht beëindigd is, verdwijnt je bedrijfsinformatie ook mee met die laptop. Bovendien weet je nooit of de laptop van de consultant wel voldoende beveiligd is, dus of je netwerk daardoor niet wagenwijd wordt opengezet. Daarom is het aangewezen werknemers en consultants beveiligd bedrijfsmateriaal te bezorgen dat na gebruik terug huiswaarts komt en vooral kan worden geverifieerd. IT samen met management Gerrit Vandendriessche pleit er ook sterk voor om het ICT-departement altijd nauw te betrekken bij de uitwerking en de implementatie van security policies: Het zorgt voor inspraak en het verhoogt zeker de efficiëntie achteraf. Het moet wel duidelijk zijn dat IT dit niet alleen kan: IT-mensen hebben de backup nodig van het management en de juridische dienst om een of een internetpolicy op te stellen. Krijgen ze die niet, dan is de kans groot dat ze zelf op het web zo n policy gaan zoeken en zonder juridische screening implementeren; met alle risico s vandien, want heel dikwijls riskeren dergelijke policies dan niet rechtsgeldig te zijn onder Belgisch recht. En tenslotte: een jaarlijkse audit om na te gaan of je beveiliging nog wel state-of-the-art is, lijkt zeker ook geen overbodige luxe!

11 INFORMATION SECURITY 11 mputerinbraak erdduizenden gegevens kwijt. Zelden of nooit wordt er Foto: istockphoto.com - mammamaart kledingzaken in de VS en Groot- Brittannië, bekend dat ruim 45 miljoen klantengegevens gestolen waren (volgens de banken zelfs bijna 100 miljoen). Uiteindelijk stelde TJX voor om bijna 41 miljoen dollar schadevergoeding te betalen voor de illegale betalingen die met de gestolen kredietkaartgegevens waren uitgevoerd. Ook in ons land En de lijst van dergelijke inbraken of lekken wordt steeds langer, ook bij ons. In totaal werden vorig jaar bijna 40 bankrekeningen gehackt, waarbij voor zo n euro werd ontvreemd. Niet alle gevallen werden bekendgemaakt, maar het is wel geweten dat op minder dan een week tijd zowel de website van het Landbouwkrediet als die van Dexia gecompromitteerd werden. En onlangs nog maakte Monster.be, de jobwebsite, bekend dat het begin dit jaar het slachtoffer geworden was van illegale pogingen om toegang te krijgen tot zijn database. Niks nieuws, overigens, want zowat anderhalf jaar geleden werd de Amerikaanse site van Monster. com ook al gehackt en werden miljoenen vertrouwelijke gegevens van werkzoekenden ontvreemd. Overigens, journalisten van De Standaard kropen in oktober vorig jaar bij wijze van test in de huid van cybercriminelen en hackten met een paar muisklikken het bestand van de Vlaamse Automobilistenbond (VAB) en van autofabrikant BMW; en ook de website van Promocontrol, het bedrijf dat de verwerking doet van kortingbonnen voor enkele grote Belgische winkelketens. De beveiliging bleek gewoon ondermaats te zijn. De Standaard kreeg enkele dagen geleden navolging toen de makers van het technologieprogramma Click op de BBC demonstreerden hoe ze op korte tijd controle kregen over bijna computers nadat ze via chatrooms op internet de geschikte inbraaksoftware hadden kunnen bemachtigen. Dit gebeurde allemaal met goede bedoelingen uiteraard: de eigenaars van de gehackte computers hebben er alleen een waarschuwing en advies voor de bescherming van hun apparaatuur aan over gehouden. En zelfs de overheid Het kan natuurlijk nog veel erger, als we kijken naar de manier waarop de overheid vaak slordig met haar gegevens omspringt. Zoals in Groot-Brittannië, waar kort na elkaar een laptop van het ministerie van landsverdediging gestolen werd met daarop de gegevens van meer dan rekruten. De National Health Service verloor twee latops met ruim patiëntendossiers, en de Royal Air Force speelde drie USB-harde schijven kwijt met daarop de gegevens van militairen. Of wat te denken van de politie van New York waar een personeelslid maar liefst de persoonlijke gegevens van politiemensen wist te ontvreemden. Misschien nog een stevig cijfer om af te ronden: de Association of Certified Fraud Examiners in de VS heeft op basis van ingezamelde cijfers uit 959 fraudegevallen berekend dat vorig jaar in de Verenigde Staten alleen meer dan 900 miljard dollar verloren is gegaan door fraude en ongeoorloofd gebruik van computergegevens. Maximale mobiliteit dankzij USB-stick Dat sluitende beveiliging niet altijd superingewikkeld hoeft te zijn, bewijst de oplossing die bij SAX Sanitair geïmplementeerd werd: een USB-identificatiestick die elke werknemer in staat stelt om overal veilig te werken. Bart Declercq IT MANAGER BIJ SAX Onze beveiliging sluit als een bus SAX Sanitair is een groothandel in sanitair, verwarming, ventilatie, wellness en duurzame energiesystemen, met een achttal vestigingen in West- en Oost-Vlaanderen en een tweehonderdtal medewerkers die een omzet realiseren van meer dan 50 miljoen euro. Door zijn snelle expansie was SAX op zoek naar een schaalbare en beveiligde oplossing om zijn erg gedecentraliseerd serverpark te consolideren en tegelijkertijd de mobiliteit van zijn werknemers te verhogen, met inachtneming van een maximale beveiliging. Zowat een derde van onze mensen zijn erg mobiel (bij klanten en partners), en voor hen zochten we een oplossing die hen in staat zou stellen om op een veilige manier ook buiten de bedrijfsmuren te werken alsof ze vast op ons bedrijfsnetwerk zaten, zegt Bart Declercq, IT-manager bij SAX. Bovendien wensten we ook kleine sites snel up and running te hebben zonder nog lokaal software en hardware te moeten onderhouden. Hot desking SAX deed daarvoor een beroep op e-bo Enterprises uit Ieper dat zijn sporen al verdiend had in de industriële wereld en ook ervaring had in technologieën voor datacenters, onder meer met eigen beveiligingsoplossingen. Het bedrijf werkte een concept uit waarbij alle dataverwerking gecentraliseerd werd in het beveiligde datacenter van Colt Telecom in Nossegem, met in de vestigingen enkel nog een thin client die via MPLS-, ADSL- of Telenetlijnen verbonden wordt met het bedrijfsnetwerk. Alles draait op de centrale servers dus zonder lokale support wat uiteraard heel wat druk wegneemt van de ITmensen bij SAX. Elke werknemer van SAX heeft bovendien een USB-stick waarmee hij gelijk waar kan aanloggen op het netwerk. En meteen heeft hij ook geen behoefte meer aan een vaste zitplaats, wat SAX in staat stelt hier het concept van hot desking toe te passen naar het voorbeeld van vele grote multinationals. Nooit dataverlies Onze beveiliging sluit als een bus, zegt Bart Declercq. Zelfs als iemand zijn USB-stick zou verliezen, is dat nog geen probleem zonder de bijhorende code is die stick toch waardeloos. De werknemer neemt gewoon een andere stick, voert zijn code in, en kan weer aan de slag. En er is ook geen behoefte aan laptops met bedrijfsinformatie die verloren kan gaan, want elke terminal is geschikt, ook voor werken van thuis uit. Na de consolidatie van het dataverkeer is bij SAX thans de telefonie aan de beurt - er wordt nu een volledige Voice over het IP-netwerk uitgerold, waardoor werknemers nog vlotter bereikbaar zullen zijn, want op elke werkplaats hebben ze na het aanloggen met hun USBstick meteen ook hun persoonlijk telefoonnummer ter beschikking. En voor de nabije toekomst is ook nog videofonie voorzien, met Webcams.

12 12 INFORMATION SECURITY Wapen jezelf voor je online gaat shoppen De gevaren op internet zijn voor de consument de laatste jaren enorm toegenomen. Cybercriminelen blijken het daarbij vooral op creditcard- en bankgegevens te hebben gemunt. De enige afdoende manier waarop je jezelf als eindgebruiker momenteel kunt wapenen, is door je pc stevig te beveiligen met de nodige software, vertelt Christel Van der Perre, Associated Channel Marketing Manager Belux bij Symantec. 9 Tips voor veilig internetshoppen tekst: Barbara Vandenbussche Internet is het paradijs voor koopjesjagers. Winkelen gaat er snel, eenvoudig en efficiënt. Maar waakzaamheid is steeds aangeraden. Christel Van der Perre geeft enkele basisregels die u het best toepast als u online iets koopt. In een winkel geeft u toch ook niet uw bankkaart én uw code aan de verkoper? 1 Zorg er om te beginnen voor dat al uw software en vooral uw beveiligingspakket up-to-date en geactiveerd is. Christel Van der Perre ASSOCIATED Channel marketing manager belux - consumer division symantec Symantec, dat zelf onder meer het beveiligingspakket Norton op de markt brengt, voert twee keer per jaar onderzoek uit naar trends en evoluties in de wereldwijde internetomgeving. Een opvallende vaststelling die we deden, is dat cybercriminelen op één jaar tijd voor maar liefst 7 miljard dollar aan creditcard- en bankrekeninggegevens van consumenten op internet te koop aanboden, vertelt Christel Van der Perre. Gegevens kraken is dus niet langer het werk van een eenzame puber op zijn kamertje, maar is big business: cybercriminelen bedienen een hele ondergrondse economie met een goed geolied netwerk van aanbieders, kopers, adverteerders, tussenpersonen,ahelpdeskmedewerkers, enzovoort. Meer en meer neemt cybercriminaliteit ook persoonlijke vormen aan: meer dan de helft van de gestolen goederen die cybergangsters aanbieden, bestaat uit financiële gegevens. De gegevens van een creditcard kunnen hen, afhankelijk van de waarde ervan, van 0,10 tot 25 dollar opleveren. De potentiële waarde van alle gestolen creditcardgegevens die door de ondergrondse economie worden aangeboden, bedraagt daarmee maar liefst 5,3 miljard dollar. Voor gestolen bankrekeninggegevens die via internet te koop zijn, is dat 1,7 miljard dollar. Nepsites Voor nieuwkomers die zich willen toeleggen op gegevensdiefstal wordt het bovendien makkelijker om criminele tactieken toe te passen, stelt Van der Perre. Op internet worden momenteel doehet-zelf-kits aangeboden die criminele tactieken zoals phishing toegankelijk maken voor iedereen die over een computer en een inte rnetverbindingabeschikt. Phishing houdt in dat men gebruikers van internetbankieren een valse e- mail stuurt die van de bank lijkt te komen. Daarin vraagt men de inloggegevens in te vullen om te bevestigen. Het is heel belangrijk hier nooit op in te gaan. Naar websites van online winkels ga je ook het best door het adres rechtstreeks in de browser in te typen. Een link in een kan er bonafide uitzien, maar je toch naar een nepsite leiden. Vooraleer je in een webwinkel je login en inlognummer ingeeft, kun je ook altijd verifiëren of het om een beveiligde website gaat. Die moet beginnen met (de s is van security), en rechts onderaan moet een hangslot te zien zijn. De nieuwste pakketten houden niet alleen alle gevaren buiten, maar tonen ook of je op de juiste website zit, en niet op een nagemaakte. Voor de gewone consument Gegevens kraken is niet langer het werk van een eenzame puber op zijn kamertje. Foto: istockphoto.com -Phatscrote lijkt dit alles een ver-van-mijnbedverhaal, omdat hij of zij niets merkt van wat er gebeurt. Maar net dat is de sterkte van de cybercriminaliteit: werden virussen vroeger geschreven om zo snel mogelijk zoveel mogelijk schade toe te brengen en zo faam te verwerven in het wereldje, tegenwoordig moeten ze zich net zo geruisloos mogelijk in je pc nestelen. Om stiekem aan persoonlijke gegevens te kunnen geraken, is het uiterst belangrijk dat de getroffen computereigenaar geen argwaan koestert en vooral gewoon verder werkt, legt Christel Van der Perre. Maar je belangrijkste wapen om jezelf en je persoonlijke gegevens te beschermen, blijft de aanschaf van een volledig beveiligingspakket voor pc en internet. Dat pakket aankopen, helpt je al heel wat vooruit, maar je moet ook zorg dragen voor regelmatige updates. De cyberwereld evolueert immers voortdurend en is professioneler geworden bij het ontwikkelen van nieuwe bedreigingen; en softwaremakers zijn erop getraind die evoluties op de voet te volgen en zelfs een stap voor te zijn. 2 Koop bij voorkeur op websites die u kent of die een goede faam hebben. 3 Controleer of de pagina waarop u uw persoonlijke gegevens en bankinformatie invult, beveiligd is. Het webadres moet beginnen met https en niet met http, en rechtsonder in het browservenster moet u het icoontje van een gesloten hangslot zien. 4 Klik nooit op links in een e- mail om toegang te krijgen tot een website, maar voer altijd het adres van een website bovenaan in het browservenster in. 5 Laat u niet vangen door ongelooflijke superkoopjes. Een handtas of een horloge van een wereldberoemd merk voor 100 euro bestaat gewoonweg niet en is reden genoeg om wantrouwig te zijn. 6 Controleer regelmatig de afschriften van uw kredietkaart. Let vooral op kleine bedragen die van uw rekening gaan. Cybercriminelen testen altijd eerst met kleinere sommen of ze een goede vis aan de haak hebben geslagen. Een goede bescherming betekent ook: 7 nooit een wachtwoord in een webbrowser opslaan; 8 innen als wachtwoord gebruiken, in plaats van één enkel woord; bijvoorbeeld: erwaseenslanggeleden; 9 en nooit bankgegevens versturen per e- mails zijn als briefkaarten die u zonder envelop verstuurt: iedereen kan ze lezen.

13 INFORMATION SECURITY 13 BeCommerce-label moet e-shopper vertrouwen schenken In alle veiligheid transacties doen, is de hoeksteen van elektronische verkoop. BeCommerce wil dé vertrouwensstempel bij uitstek op Belgische e-commerce websites worden. BeCommerce staat voor een kwaliteitsgarantie, legt managing director Marc Périn uit. tekst: Johan Dillen Marc Périn Directeur becommerce De vzw BeCommerce is ontstaan in de schoot van de BDMA, de Belgian Direct Marketing Association. Door de boom van verkoop op afstand, groeide de nood aan een onafhankelijke organisatie die garant zou staan voor veiligheidsen privacyvereisten, waardoor de consument zich in veilige handen moet voelen bij zijn aankoop. BeCommerce verenigt bedrijven die in België producten of diensten aan consumenten verkopen via internet, catalogus, post, enzovoort. Deze bedrijven zijn lid van de vzw BeCommerce, respecteren de Gedragscode van het Belgisch Direct Marketing Verbond (BDMV) en aanvaarden de uitspraken van het Comité van Toezicht van het BDMV dat optreedt in geval van geschillen tussen consumenten en bedrijven. We moeten drie vertrouwensproblemen het hoofd bieden bij e-shopping, volgens Périn. Er is de veiligheid bij het betaalverkeer, de onzekerheid over de correcte afhandeling van de transactie en het algemene vertrouwen dat de consument heeft in het bedrijf achter de website. BeCommerceleden moeten de gedragscodes van zowel de BDMA als onze eigen gedragscode onderschrijven. Ze omvatten onder meer regels rond het product en zijn prijs; de levering van het goed; een privacygarantie voor de consument en een beschermingsclausule voor minderjarigen. Wat de veiligheid van het betaalverkeer betreft, benadrukt Périn de voorzichtigheid die de consument aan de dag moet leggen. Je loopt toch ook niet zomaar met de inhoud van je portefeuille open en bloot op straat? Datzelfde geldt ook voor internetbetalingen. De zorgvuldige huisvaderapproach moet de norm zijn: weet wat je koopt en waar je het koopt. In se zijn kredietkaarten niet ontwikkeld voor het huidige gebruik op internet, maar veel e- commerce-handelaars bieden ook alternatieve aan. betalingsfaciliteiten AWARDS Dat andere vertrouwenselement, het bedrijf dat achter de e-commerce website schuilt, wil BeCommerce helpen stimuleren door de uitreiking van de BeCommerceawards. We reiken elk jaar awards uit voor diverse websites in verschillende domeinen. Zo willen we de uitblinkers belonen en meer bekendheid bezorgen. Dat de eigen bekendheid van BeCommerce nog beter kan, geeft Périn grif toe. Maar het was onze keuze om eerst het label voldoende sterk te maken. Werken aan de bekendheid is een stap waar we nu meer aandacht aan zullen geven. De erste tekenen zijn reeds hoopvol. We krijgen veel vragen van bedrijven die in België een e-shop willen openen over het hoe en wat, en klanten contacteren ons met hun klachten, waardoor wij kunnen bijsturen. Périn voorspelt nog een grote groei in e-commerce activiteiten. België had achterstand, maar heeft die bijgebeend. Niet alleen krijg je de jongeren die het gewoon zijn om via het net te shoppen, maar ook veel ouderen die kunnen omgaan met computers zullen meer elektronisch shoppen naarmate ze meer tijd krijgen om hun hobby s in te vullen. Foto: istockphoto.com -nmaxfield Ziekenhuizen kunnen op veilig spelen dankzij barcodes Soms hoor of lees je verhalen over patiënten die per vergissing in een ziekenhuis het verkeerde geneesmiddel toegediend kregen, al dan niet met nefaste afloop. Toch kunnen dergelijke fouten gemakkelijk vermeden worden, op voorwaarde dat men gebruik maakt van barcodes waar alle informatie over patiënt èn geneesmiddel correct en veilig in opgeslagen zit. Etienne Boonet Algemeen Directeur GS1 Belgie en luxemburg Barcodes zijn een kolfje naar de hand van GS1, een wereldwijde organisatie die zich bezighoudt met het ontwerpen en toepassen van standaarden voor supply chains in alle mogelijke sectoren. Zo zijn de barcodes die je in supermarkten en grootwarenhuizen vindt, doorgaans van de hand van GS1, en ook in logistieke ketens worden die standaarden gebruikt om de doorloop van producten op te volgen. Aan het bed Onze standaard is echter ook zeer belangrijk in de gezondheidssector, zegt Etienne Boonet, algemeen directeur GS1 België en Luxemburg. In ziekenhuizen is het immers van cruciaal belang dat de patiënt de juiste medicatie krijgt, en daartoe moet je aan het bed van de patiënt het geneesmiddel dat je gaat toedienen via een barcode kunnen identificeren. Speciaal daarvoor hebben wij de DataMatrix ontwikkeld om alle vergissingen uit te sluiten: een barcode waarin informatie zit over het geneesmiddel zelf, met eventueel lotnummers; houdbaarheidsdatum; het RIZIV-nummer dat nodig is voor de terugbetaling; enzovoort. Uiteraard vereist dat ook wel de nodige technische infrastructuur in het ziekenhuis. Ideaal is dat de uitleesapparatuur beschikbaar is aan het bed, met een draadloze connectie naar het voorschrift van de geneesheer zodat men zeker is dat de arts inderdaad dit geneesmiddel voorgeschreven heeft voor die patiënt. Zo kun je op een eenduidige manier zowel de patiënt als het geneesmiddel identificeren en een link maken naar de software die het geneesmiddel vergelijkt met het voorschrift van de dokter, aldus Boonet. Barcode op RFID GS1 ziet hier een duidelij-ke beveiliging sopdracht: het juiste product voor de juiste patiënt in de juiste dosis op het juiste moment bezorgen met behulp van automatische identificatietechnologie onder de vorm van barcode of RFID (radio frequency identification). RFID is duidelijk aan zijn opmars begonnen, maar het probleem is het kostenplaatje: de tag is altijd duurder dan barcode, legt Etienne Boonet uit. En er is nog een ander probleem: soms treedt er interferentie door ijzer en water op, en om al die interferenties te vermijden, moet je dure tags hebben. Maar voor ons maakt het niet uit of je onze standaard in een DataMatrix gebruikt of in een RFID-omgeving: het is transparant. Wij maken zelf die keuze niet, wij geven wel advies over waar je op moet letten als je voor RFID of barcode kiest. Standaarden als die van GS1 (eigenlijk een vzw) kunnen ten slotte ook helpen om namaakmedicijnen op te sporen en te ontmaskeren vooraleer ze de supply chain van de gezondheidszorg kunnen binnendringen. Dit is toch een belangrijke taak als je weet dat zowat 10 procent van de wereldmarkt voor geneesmiddelen uit waardeloze namaak bestaat en goed is voor meer dan 30 miljard dollar. VOORKOM MEDISCHE FOUTEN! Elke dag nog sterven mensen aan medische fouten. Meestal zouden die kunnen vermeden worden. De medische sector kenmerkt zich door complexe processen waarin de correcte en glo bale identificatie en tracering van mensen, geneesmiddelen en apparatuur centraal staan. Enkel zo wordt het juiste geneesmiddel toegediend, aan de juiste patiënt, op het juiste tijdstip, in de juiste dosering. Patiëntveiligheid is ook een zaak van authenticiteit. Zijn die pillen die via website X aangeboden worden echt of namaak? Waarom GS1? GS1 Belgium & Luxembourg brengt alle betrokken partijen hospitalen, apotheken, logistieke dienstverleners, solution providers, autoriteiten, - rond één tafel en reikt globale en gemeenschappelijke standaarden en oplossingen aan. GS1 Belgium & Luxembourg, VZW met zetel te Brussel, is lid van de wereldwijde GS1 organisatie. Meer info?

14 14 INFORMATION SECURITY Minister Vincent Van Quickenborne: De elektronische factuur kan enorme besparingen opleveren Vincent Van Quickenborne neemt zijn taak als Minister voor Ondernemen en Vereenvoudigen heel letterlijk: hij wil documentenstromen maximaal vereenvoudigen door zoveel mogelijk papieren documenten te vervangen door elektronische; te beginnen met facturen, want daar liggen enorme besparingen zo maar voor het grijpen, stelt hij. Je kunt flink wat winst maken door alles elektronisch te doen. papieren factuur, inclusief de postzegel, de behandeling en ook de archiefruimte 4 euro per stuk kost tegenover 1 euro voor de elektronische. Als je er dan vanuit gaat dat de bedrijven per jaar een miljard facturen opstellen, dan kun je al snel een paar miljard euro besparen. De minister is niet aan zijn proefstuk toe: hij was al eerder, van 2003 tot 2007, Staatssecretaris voor Administratieve Vereenvoudiging. In die periode hebben we een wet gemaakt om een wettelijk kader te creëren voor de elektronische factuur, legt hij uit. De wet werd op 1 januari 2004 van kracht, maar om ook bewijskracht te kunnen geven aan de stukken, was een circulaire nodig vanuit de administratie financiën. Die is er vorig jaar dan gekomen zodat er nu meer rechtszekerheid is. De papieren gewoonte En toch blijven de bedrijven aarzelen om hun papieren factuur door een elektronische te vervangen. De belangrijkste reden is volgens mij dat zij nog veel te weinig vertrouwd zijn Vincent Van Quickenborne MINISTER VOOR ONDERNEMEN EN VEREENVOUDIGEN met het papierloos kantoor en puur uit gewoonte blijven verder werken met papier, stelt Van Quickenborne. Grote bedrijven die met professionele klanten werken zoals de distributiesector, eisen al wel dat hun leveranciers elektronisch factureren. Maar naarmate je afdaalt in de keten en naar de kleinhandel gaat, kom je in een totaal andere omgeving waar vooral naar de kosten gekeken wordt. Veel bedrijven kijken inderdaad op tegen de opstartkost, maar die verdwijnt op termijn volledig omdat je flink wat winst kunt maken door alles elektronisch te doen, beklemtoont Van Quickenborne. En hij verwijst daarbij naar een studie van een Nederlands consultancybureau waaruit gebleken is dat een Nieuw burgerloket Hij wil ook de interactie tussen de overheid en de burger fel vereenvoudigen. Een paar maanden geleden hebben we al de nieuwe site Belgium.be gelanceerd, die veel meer gefocust is op de noden van de burgers. En we werken nu aan een interactieve module, een soort elektronisch burgerloket dat er zoveel mogelijk moet voor zorgen dat mensen zich niet meer hoeven te verplaatsen naar het gemeentehuis, en dat ze 24 uur op 24 en 7 op 7 elektronisch transacties kunnen doen met de overheid. Op termijn moet dat loket kunnen gebruikt worden voor een adreswijziging, een geboorteaangifte, noem maar op. Dat burgerloket wordt in de komende maanden gelanceerd, met een centrale rol daarin voor de elektronische identiteitskaart die overigens vanwege van haar eenvoud in het gebruik en haar beveiliging in toenemende mate ook door privéspelers als fitnessclubs of videotheken gebruikt wordt. -citizen Singapore Weg met de loketten 8 tekst: Johan Dillen e burger die zowat al zijn communicatie met de overheid van achter zijn C kan doen. In ons land nog ver erwijderd, maar in Singapore hoort it al tot de dagdagelijkse realiteit. ingapore staat al een hele stap erder in e-governement, en heeft aar niet eens een elektronische dentiteitskaart voor nodig. Elke nwoner van Singapore kan een SingPass aanvragen, een uniek aswoord dat samen met het ummer van de identiteitskaart oegang verschaft tot de diensten p een portaalsite die de overheid penhoudt. e portaalsite omvat diverse luiken aar de inwoners terecht kunnen. e communicatie met de overheid mvat onderdelen die we hier ook ennen, zoals de elektronische elastingaangifte, maar je kan bijvoorbeeld ook elektronisch je boetes betalen Singapore heeft een zeer uitgebreid boetesysteem of de verkeersbelasting. Betalen verloopt via een kredietkaart, online bankieren of FlexiPay, waarbij je de overheid de toestemming geeft de verschuldigde som van je bankrekening te halen. Daarnaast kan je elektronische verwittigingen ontvangen wanneer het tijd is om een nieuwe identiteitskaart af te halen, maar ook wanneer je bibliotheekboeken over tijd zijn. Het e-citizen portaal is sinds 1999 in gebruik, en in de loop van de jaren uitgegroeid naar een breed maatschappelijke website die de inwoners antwoorden op zoveel mogelijk vragen wil bieden. Zo kan je naast een doktersbezoek online vastleggen ook courante medicijnen aanschaffen via de site. Die worden dan thuis geleverd. Ook kan je via de site een maandabonnement betalen bij enkele parkings in plaats van elke dag naar de meter te hoeven lopen. Een andere bedoeling van het portaal is zoveel mogelijk overheidsinformatie te bundelen op één plek, wat de zoektocht voor de Singaporezen aanzienlijk moet vereenvoudigen. Die omvat de meest diverse luiken, waaronder cultuur en sport, maar ook alle info voor het gezine, tot zelfs een online datingservice toe. Een aantal van die diensten vind je bij ons ook al, maar niet gebundeld op één site. Via de site kan je zelf 1 aangifte doen van een klein misdrijf zonder naar de politie te moeten trekken. Je kunt online een job 2 zoeken via de databank met vacatures van zowel privébedrijven als de overheid. Boek bijvoorbeeld je 3 badmintonterrein van thuis uit, of bekijk de catalogus van de nationale bibliotheek online. Maak een afspraak met 4 een arts of een ziekenhuis van de National Healthcare Group of de Singapore Health Services Group. Hoe e-citizen het leven vereenvoudigt Check of je in 5 aanmerking komt voor een sociale woning. De site bevat ook alle contacten die je nodig hebt voor de aansluiting van water, elektriciteit, gas en de verhuisdienst van de post. Bekijk de stand van zaken 6 van je opgebouwde pensioenrechten. Vraag online je 7 handelsvergunning aan. Alle formaliteiten voor de 8 legerdienst kun je achter de computer afhandelen.

15 INFORMATION SECURITY 15 Een veilig loket via internet Het gebruik van internetbankieren is in talrijke huiskamers reeds een gewoonte geworden. Toch horen we in het nieuws vaak verhalen over hackers, phishing en andere malafide praktijken. Hoog tijd dus om eens te informeren naar de veiligheid van het virtuele bankloket. tekst: Barbara Vandenbussche In juni vorig jaar zijn we overgeschakeld naar een nieuwe internetsite, waarbij we ook de veiligheid meteen een nieuwe boost hebben gegeven, vertelt gedelegeerd bestuurder Marc Van der Schueren. Het oude, statische systeem met vaste codes is nu vervangen door een UCR of Unconnected Card Reader, wat veel dynamischer is en dus ook veiliger. Wie nu wil aanloggen op het systeem, moet zijn debetkaart in de lezer plaatsen om zich te identificeren. Na het ingeven van de pincode genereert het systeem een eenmalige code, die slechts bij deze ene aanlogsessie geldig is. We hebben daar bovendien nog een handtekening aan toegevoegd. Wanneer je een transactie doet zoals een overschrijving, of je voegt een nieuwe begunstigde toe, moet je ondertekenen met een code die door hetzelfde toestel wordt gegenereerd. De veiligheidsoplossing waar Bank van de Post gebruik van maakt, wordt meer en meer de standaard in de markt. Zowat alle grote banken passen dit systeem reeds toe, en vroeg of laat zal het overal verspreid zijn. Gebruikers van internetbankieren zullen We hebben een compromis moeten sluiten tussen beveiliging en gebruiksgemak dus op een heel andere manier moeten leren werken, al blijken ze er tot nu toe in het algemeen erg snel mee weg te zijn. We hebben een compromis moeten sluiten tussen beveiliging en gebruiksgemak, stelt marketing manager Xavier Dumon. Het systeem vraagt bijvoorbeeld zelf wat er moet ingegeven worden, wat het duidelijker maakt voor de klant. De meeste mensen waren er na de eerste of tweede keer mee weg. Op onze site staat nog steeds een demo voor wie graag alle mogelijkheden nog even bekijkt. Dat de UCR internetbankieren van een extra veiligheid voorziet, betekent geenszins dat banken en consumenten nu niet meer waakzaam moeten zijn, benadrukt veiligheidsadviseur Sacha Heinen. We staan vanuit technisch standpunt heel ver, maar ook hackers ontwikkelen zich verder. Het zwakke punt ligt op dit moment bij de eindgebruikers. Malware is snel binnengehaald. Daarom is het belangrijk dat consumenten hun eigen pc beveiligen, met antivirus, firewall, antispyware, antispam, Men moet zich ook bewust zijn van de gevaren op internet: niet elke site is veilig, en je kunt niet zomaar bestanden uitwisselen of downloaden. Phishing, valse s sturen om naar codes te vragen, komt ook veel voor. We raden mensen aan niet te reageren op zaken die ze niet verwachten tijdens een traditionele sessie. Tot slot moet je bij het bankieren goed beseffen dat je bezig bent met een transactie, en je moet je dus bewust zijn van wat je op dat moment doet. Een extra veiligheid betekent geenszins dat banken en consumenten nu niet meer waakzaam moeten zijn Foto: istockphoto.com - Kativ Foto: istockphoto.com -Kativ De bank anti-risico s Je moet het proberen De Post NV van publiek recht (Muntcentrum, 1000 Brussel), is agent in bank- en beleggingsdiensten, verzekeringstussenpersoon (CBFA ca-cb) voor Bank van De Post NV (Anspachlaan 1, 1000 Brussel, BTW BE RPR Brussel, BIC BPOTBEB1 IBAN BE ) erkend als verzekeringstussenpersoon onder CBFA-nr A.

16