It-beveiliging is vandaag de dag terecht een heet hangijzer. Transacties via internet moeten bijvoorbeeld gegarandeerd veilig zijn, voordat men eraan begint. De kans op een succesvolle bestrijding van allerlei dreigingen hangt niet alleen af van hoog-technologische beveiligingsoplossingen. Drie experts aan het woord over onder meer uniforme inlogprocedures, het delen van informatie en het relativeren van bedreigingen.
Betere it-beveiliging en identiteitenbeheer is essentieel voor het slagen van elektronische handel en overheidsdiensten, aldus Arthur Coviello, ceo van RSA Security. Willen consumenten ooit vertrouwen krijgen in e-commerce moeten eerst een aantal sleutelproblemen rond beveiliging worden opgelost, zei Coviello onlangs op een conferentie van RSA in Barcelona.
“Hoewel de meerderheid van Europa verbinding heeft met internet, doet slechts een klein deel van de mensen iets als het kopen op internet of via internet betalen.”, zegt Coviello. “Drie factoren weerhouden consumenten ervan internet te gebruiken voor aankopen en dergelijke: het is eng, moeilijk in het gebruik, verwarrend en chaotisch.”
De vrees voor diefstal van identiteit, gecombineerd met een gebrek aan vertrouwen in veel transactiewebsites, zorgt voor een terughoudende instelling bij consumenten en in sommige gevallen schroeven ondernemingen hun online dienstverlening dan ook terug, zegt hij. “Het aantal phishing-aanvallen is van enkele honderden uitgegroeid tot duizenden.”, zegt Coviello. “En we hebben gehoord van klanten in de bankwereld die hun dienstverlening terugdraaien vanwege de dreiging van online fraude.”
Maar de technologie om de meeste van deze problemen het hoofd te kunnen bieden is er al. Zodra deze op brede schaal omarmd wordt, zou dat een formidabele groei in het gebruik van e-commerce kunnen betekenen, zegt hij. Het introduceren van authenticatie middels twee factoren, zoals onlangs ingevoerd door AOL om gebruikers extra beveiliging te bieden voor e-mail, kan helpen het risico op identiteitsfraude te verkleinen en het betalen van rekeningen en online boodschappen veiliger maken, zegt Coviello.
Universeel geldende identiteiten, die internetgebruikers in staat stellen toegang te krijgen tot een veelvoud van sites via één vertrouwde paspoortachtige inlog zal e-commerce zeker helpen groeien, zegt hij. “Waarom kan ik niet inloggen op AOL, naar de tool bar gaan, daar mijn favoriete sites aanklikken en het aan AOL overlaten om mijn authenticatie over te dragen op andere vertrouwde sites?”, zegt hij. “Dat is veiliger, makkelijker en begrijpelijker.”
Het bestrijden van phishing
Meer dan 90 procent van de phishing-aanvallen zou in de kiem gesmoord kunnen worden als online bedrijven een paar simpele voorzorgen zouden nemen om identiteitsdiefstal te voorkomen, zegt Howard Schmidt, chief security officer van eBay.
Schmidt, voormalig adviseur internetbeveiliging van het Witte Huis zegt dat internetbanken, winkels en overheidsinstanties het aantal online identiteitsdiefstallen zouden kunnen verminderen door betere communicatie, het introduceren van authenticatie langs twee wegen en het opvoeden van consumenten over de nieuwe dreigingen. En door onderling informatie uit te wisselen omtrent nep-sites kunnen bedrijven helpen om phishing-groepen sneller in de kraag te vatten, zegt hij.
“Als we een nep eBay-site aantreffen, merken we vaak dat de misdadigers nog acht of negen andere nep-sites op hun server hebben staan, variërend van sites voor e-commerce tot internetbanken.”, zegt hij. “Hoe langer dat soort nep-sites bestaan, hoe waarschijnlijker het wordt dat mensen er het slachtoffer van worden, dus bedrijven moeten ze in de gaten krijgen en de isp’s waarschuwen om dit soort sites onmiddellijk plat te leggen.”
Online winkeliers kunnen de vrees ook verminderen door valideringstechnologie aan te brengen in browsers, waarmee consumenten geïnformeerd worden dat ze op de echte site zijn en niet op een nepper, zegt hij. “Dat zou heel simpel kunnen met groene of rode kleuren, die mensen aangeven dat het een valide site betreft en niet een nep-site”, zegt Schmidt. Hij waarschuwt dat de groei van e-commerce onder de maat zal blijven, tenzij bedrijven beveiliging tot een centraal thema van de ‘klantenervaring’ weten uit te bouwen.
“Internetfraude is zal blijven groeien, tenzij we er nu iets aan doen”, zegt hij.
Cyberterrorisme
Het veelvuldig gebruik van de term ‘cyberterrorisme’ blijkt verwarrend te werken op leden van de raad van bestuur of directeuren en staat broodnodige investeringen in it-beveiliging in de weg. Dat zegt Richard Clarke, voormalig veiligheidsadviseur van het Witte Huis.
Door ddos-aanvallen, hacking en het kraken van zakelijke websites te omschrijven als cyberterrorisme, oefenen it-directeuren een negatieve invloed uit op het bedrag dat ondernemingen in it investeren. Negatief omdat ze nalaten behoorlijk over te brengen wat de echte risico’s zijn voor hun ondernemingen.
“Als je het cyberterrorisme noemt, raken ze in de war en denken ze dat het Osama Bin Laden is die met een laptop in een grot zit”, zegt Clarke in een inleiding op de RSA-conferentie vorige maand. “Ceo’s willen daar geen geld aan uitgeven, omdat ze niet geloven dat het een echte bedreiging voor ze is; ze denken dat het om kosten gaat en niet om voordelen. Zeg dan liever informatiebeveiliging, informatieverzekering, cyberveiligheid of cybercriminaliteit, maar vermijd het woord cyberterrorisme.”
Clarke, die elf jaar lang de laatste drie presidenten van de VS adviseerde omtrent nationale veiligheid en it-bedreigingen, zegt ook dat bedrijven hun it-beveiligingsprocedures meer op één lijn moeten brengen met hun fysieke beveiligingsprocedures. Gebrek aan aandacht voor dit onderwerp zou de continuïteit van ondernemingen serieus kunnen bedreigen. “We betreden veel gebouwen en tekenen dan een lijst. Meestal weet niemand wie we zijn”, zegt Clarke. “Ik teken meestal met Benjamin Franklin en het valt niemand op.”
Door beveiligde automatisering te gebruiken en tweeweg authenticatie-apparaatjes te gebruiken voor toegang tot zowel gebouwen als technologie kunnen ondernemingen de beveiliging dramatisch verbeteren, zegt hij. “Als je je zorgen maakt over beveiliging, moet je ook bezorgd zijn over cyberveiligheid – onze economie is in toenemende mate afhankelijk van internet”.
Clarke zegt dat ondernemingen en overheid moeten samenwerken om zorgen over beveiliging tot bedaren te brengen, en pro-actief te zijn in plaats van reactief. “Een hele hoop mensen zijn bezorgd om burgerlijke vrijheden en zien beveiligingstechnologie als een bedreiging”, zegt hij. “Maar technologie is een stuk gereedschap – het is op zich niet goed of slecht. Het hangt er maar vanaf hoe we het gebruiken.”< BR>
Daniel Thomas, vertaling: Ren� Rippen
