De elektronische handel gaat gouden tijden tegemoet. De voorspelling is dat 80 procent van de omzet zal plaatsvinden in het ‘business-to-business’-segment. Dat kampt niet met de vorige week beschreven problemen bij het consumentensegment. Daar is de beveiliging nog een heikel punt. De totstandkoming van ’trusted third parties’ kan hierin verandering brengen.
De opsplitsing van de markt voor elektronische handel in een ‘business-to-consumer’-segment (zie artikel vorige week) en een ‘business-to-business’ komt onder andere door het feit dat bedrijven en consumenten hun aankopen op geheel verschillende wijze verrichten. Bedrijven kopen dezelfde producten en diensten meestal steeds opnieuw. Voorbeelden zijn kantoorbenodigdheden, tijdelijk personeel, reisdiensten, enzovoort. De consument is meer geneigd producten per stuk te kopen, en omdat hij geen bulk-voordeel behaalt, is het voor hem (administratief) makkelijker de volgende keer over te stappen naar een andere leverancier. Voor bedrijven is het echter makkelijker en aantrekkelijker om de inkopen te automatiseren. Bovendien kunnen in de ‘business-to-business’-markt bedrijven zowel koper als verkoper zijn. Automatisering van transacties tussen de bedrijven leidt aan beide kanten tot kostenbesparingen en flexibiliteitsverhoging. E-handel moet uiteraard zowel aan de koper als aan de verkoper een voordeel bieden.
Wanneer een medewerker van kantoor op pad wordt gestuurd om voor honderd gulden aan kantoorbenodigdheden te kopen, komt daar een hoeveelheid papierwerk en aandacht bij kijken (autorisaties e.d.) die nog eens honderd gulden kosten. Bij de consumentenmarkt is hiervan niet of nauwelijks sprake.
De automatisering van dergelijke bedrijfstransacties heeft misschien niet zo’n uitstraling als een flitsende online-bankierapplicatie, maar is zeker zo winstgevend.
Factoren die in het consumentenmarktsegment een remmende werking hebben (met name beveiliging en de fysieke distributie) spelen bij business-to-business een veel kleinere rol. Dit komt ondermeer doordat er meestal sprake is van een klein aantal vaste en bekende handelspartners. Men kan dan ook een geavanceerde interface hanteren. Bij een klein aantal bekende partners is dat nog wel haalbaar, maar niet bij miljoenen onbekende consumenten. De communicatie kan zelfs op eigen ontworpen protocollen zijn gebaseerd, in plaats van op wereldstandaarden zoals SSL. Dit is natuurlijk gunstig vanuit het oogpunt van beveiliging. Een tweede voor de hand liggende constatering is dat de fysieke distributie in zo’n situatie nog te overzien valt.
Van intranet naar extranet
Hoe wordt het business-to-business-segment van e-handel momenteel concreet aangepakt? En op welke techniek is het gebaseerd? Het geautomatiseerd laten verlopen van bedrijfsmatige inkoopprocessen is natuurlijk niet nieuw. Edi (electronic data interchange) bestaat al meer dan twintig jaar. Maar Edi is nooit echt aangeslagen, behalve bij de zeer grote ondernemingen. Edi is duur en niet flexibel. Het werkt alleen goed wanneer de links tussen de handelspartners goed opgezet en geformaliseerd zijn. Edi is dus geen goed middel voor informele en sporadische klant-leverancier relaties. Het heeft ook nooit in de bedoeling van de Edi-ontwerpers gelegen om het mkb en consumenten van Edi gebruik te laten maken. Bij elektronische handel tussen bedrijven via Internet wordt het concept Edi echter in een nieuw jasje gegoten. Deze moderne vorm van Edi is dan ook gebaseerd op nieuwe technieken en andere protocollen. Voor Edi in zijn nieuwe vorm wordt over het algemeen de term extranet gehanteerd, meestal in combinatie met vpn-technologie (virtual private network). Dit is veel gebruiksvriendelijker voor een groot aantal (handels-) relaties.
Hoe komt men nu tot een extranet?
De eerste stap bestaat vrijwel altijd uit de implementatie van een intranet. Een intranet is, simpel gesteld, een website die draait op een lan en alleen vanaf dat lan bereikbaar is. Het biedt de werknemers toegang tot allerlei informatie binnen een bedrijf. Dit kan variëren van een personeels-adressenbestand tot geplande activiteiten per afdeling tot het menu van de dag van de cafetaria. Wanneer een intranet ingeburgerd is geraakt, willen de gebruikers al gauw ook vanaf hun huis toegang krijgen. Nadat afdoende beveiligingsmaatregelen zijn getroffen om het netwerk te beschermen tegen onbevoegd gebruik, wordt ook deze stap genomen. Denk bij deze netwerkbeveiliging aan firewalls, routers, packet-filtering, terugbellende modems, enzovoort.
Wanneer men eenmaal zover is, is het een relatief kleine stap om ook zakelijke relaties zoals leveranciers, distributeurs, detaillisten en outsourcing partners gecontroleerde toegang te verschaffen tot (gedeelten van) het intranet. Op dat moment spreekt men niet langer van een intranet, maar van een extranet. Op deze wijze groeit een intranet uit tot een veelzijdig medium voor vrijwel alle belanghebbenden in een onderneming. Het fungeert dan niet alleen als communicatie- maar ook als transactiemedium met de eerder genoemde zakelijke relaties. En dan hebben we het over het moderne Edi, gebaseerd op Internet-technieken en -protocollen zoals TCP/IP, Html, FTP, Smtp, SSL, en hopelijk binnenkort SET.
Toekomstmuziek? Deels nog wel. Maar het wordt op korte termijn realiteit. Hoewel een enkeling al zo ver is, bevinden we ons over het algemeen nog in een fase waarin hard gebouwd wordt aan de ontwikkeling van intranetten. Dat de interesse van het bedrijfsleven hierin zeer groot is, bleek nogmaals uit een pan-Europees onderzoek onder grote ondernemingen in eind 1996. Hieruit bleek dat 30 procent al een intranet had geïmplementeerd, en van diegenen die dat nog niet hadden gedaan was maar liefst 94 procent van plan dit binnen drie jaar te doen.
TTP
Een andere belangrijke ontwikkeling op het gebied van e-handel is de totstandkoming van zogenaamde ttp’s (trusted third party), ook wel bekend als een CA (Certification Authority). In tegenstelling tot andere ontwikkelingen op het gebied van e-handel zijn de TTP’s van belang voor zowel het consumenten- als het zakelijke segment. Een TTP verzorgt de uitgifte van digitale certificaten, gebaseerd op de techniek van de openbare/geheime sleutel-cryptografie (public/private key). Ook is er al een standaard (X.509) die omschrijft hoe zo’n digitaal certificaat er uit moet zien. Met een geheime sleutel (‘private key’) is het onder andere mogelijk om een digitale handtekening te plaatsen onder een bericht, bijvoorbeeld een bestelling. Verder wordt ook de integriteit van het document gewaarborgd; de inhoud is onderweg niet gewijzigd. Via de digitale handtekening wordt de identiteit van een partij gewaarborgd. Het belang hiervan voor e-handel is onder andere dat het de angst voor de onveiligheid van Internet kan wegnemen. Immers, zelfs als iemands creditcard-nummer onderschept wordt, kan daarmee geen bestelling worden geplaatst, omdat de besteller behalve de creditcard-informatie ook de geheime sleutel van de eigenaar moet hebben, waarmee een bestelling wordt ondertekend. Wil men nog een extra beveilingslaag toevoegen, dan is het zelfs mogelijk de geheime sleutels te verstrekken op een smartcard, ter grote van een creditcard. Zo is voor het verrichten van een succesvolle transactie niet alleen kennis (gebruikersnaam, wachtwoord, en creditcard-nummer) maar ook bezit (de smartcard) nodig. Tot slot waarborgt een openbaar en geheim sleutelpaar ook de vertrouwelijkheid van een bericht; de verzender weet dat de ontvanger de enige persoon is die het bericht kan lezen.
Contactpunten
De meest voor de hand liggende kandidaten voor het aanbieden van ttp-diensten zijn banken en bijvoorbeeld notariskantoren. Deze spelen namelijk traditioneel al de rol van een betrouwbare derde partij. In Nederland zijn de belangrijkste (potentiële) spelers op de ttp-markt: PTT Post, Kpmg, Interpay, en het Notarieel Broederschap. De grootste en meest bekende ttp op dit moment is echter het Amerikaanse Veri Sign.
Voor veel ttp’s is de fysieke (eenmalige) identificatie van een gebruiker een struikelblok. Wil men een echt veilig en betrouwbaar certificaat, dan zal men zich bij de ontvangst daarvan (op diskette bijvoorbeeld) persoonlijk moeten identificeren met een geldig legitimatiebewijs. Idealiter controleert de uitgevende instantie ook of het getoonde legitimatiebewijs is opgenomen in het register van vermiste, gestolen, of om een andere reden onbetrouwbaar zijnde legitimatiebewijzen. Middels de persoonlijke identificatie kan de uitgevende ttp ook garanderen dat de gebruikersnaam in het certificaat overeenkomt met de fysieke gebruiker. Om persoonlijke identificatie bij grootschalige certificaatuitgiftes mogelijk te maken moet de ttp wel beschikken over een fijnmazig distributienetwerk. Dit houdt in dat er door het hele land een groot aantal ‘contactpunten’ moet zijn waar een consument langs kan gaan voor een certificaat. Zelfs als er voor een oplossing wordt gekozen waarbij de consument zijn certificaat kan downloaden, is zo’n netwerk van ‘contactpunten’ nog noodzakelijk. Immers, ergens in het aanvraagproces zal er toch een moment moeten optreden waarop de aanvrager zich fysiek legitimeert. Onder andere om deze reden horen wij in Nederland nog niet veel van bedrijven als Veri Sign. Buitenlandse ttp’s beschikken niet over een distributienetwerk hier, en het is waarschijnlijk veel te kostbaar om dat op te zetten. De Nederlandse consument zal dan ook pas van ttp-diensten gebruik kunnen gaan maken bij één van de volgende twee scenario’s. Of deze dienstverlening wordt door een Nederlands bedrijf gerealiseerd, óf een buitenlandse ttp sluit een overeenkomst met een lokale onderneming die wel over een landelijk distributienetwerk beschikt.
Certificaten
Bij Veri Sign kan men vier soorten certificaten aanvragen, met oplopende beveiligingsniveaus. Hoe hoger het beveiligingsniveau, des te meer moeite Veri Sign zal doen om te verifiëren dat de aanvrager ook inderdaad is wie hij zegt dat hij is. Dit doen ze onder andere door het raadplegen van databases met naw-gegevens, en indien van toepassing een controle van het KvK-register. Voor alle niveaus geldt echter dat de aanvraag via e-mail of gewone post geregeld kan worden. Veri Sign eist (nog) niet dat de aanvrager zichzelf in levenden lijve identificeert met een geldig legitimatiebewijs. De op bovenstaande wijze verkregen certificaten, zeker die van de eerste twee niveaus, bieden dus een schijnzekerheid omdat een willekeurige persoon een certificaat voor een willekeurige identiteit kan aanvragen. Dit maakt de markt voor ttp-dienstverlening er niet echt duidelijker op. Tevens treedt een nadelig effect op voor de veiligheid van de transacties, en daar was het eigenlijk allemaal om begonnen. Toch claimt Veri Sign dat zijn certificaten veilig genoeg zijn om er (grote) financiële transacties mee uit te voeren, zoals bijvoorbeeld tussen banken.
Wel toont Veri Sign hoeveel potentieel beleggers in ttp’s zien. Eind januari 1998 ging het bedrijf de beurs op in de VS. Een maand later waren hun aandelen al met 125 procent in waarde gestegen.
Ook de Nederlandse overheid hecht veel belang aan de realisatie van ttp-functionaliteit in Nederland, zoals onder andere te lezen valt in het ‘Actieplan Electronic Commerce’ van het Ministerie van Economische Zaken. Dit ministerie wil terecht een eenduidige juridische status ontwikkelen voor elektronische documenten, met inbegrip van een stelsel van elektronische handtekeningen en authentificatie. Voor veel administratieve en commerciële handelingen is nog een papieren basis vereist, zoals bij overeenkomsten, aanvragen voor vergunningen, oprichting van rechtspersonen, enzovoort. Zodra elektronische handtekeningen een juridische basis krijgen, kunnen bovengenoemde handelingen ook elektronisch plaatsvinden. De techniek en de dienstverlening die een ttp inbrengt zal hiervoor de technische basis vormen. Als het aan het Ministerie van EZ ligt zal ttp-dienstverlening in Nederland nog in 1998 een feit worden.
Infrastructuur
In het vorige week verschenen eerste deel van dit artikel is duidelijk gemaakt dat een aantal factoren op korte termijn de groei van het ‘business-to-consumer’-segment afremt. De elektronische handel gaat gouden tijden tegemoet, maar de voorspelling is dat 80 procent van de omzet te verwachten is in het ‘business-to-business’-segment. Dat wil echter niet zeggen dat de consumentenmarkt oninteressant is. Organisaties dienen zich nu echter met e-handel te richten op hun zakelijke relaties, zoals leveranciers of grote zakelijke afnemers. Een geëigend middel is de implementatie van een intranet, dat vervolgens uitgroeit tot een extranet. Wanneer deze infrastructuur eenmaal is gerealiseerd, is een basis gevormd voor een verhoogde aandacht voor het ‘business-to-consumer’-segment. De geschatte termijn voor zowel een succesvol extranet als voor oplossingen voor de remmende factoren in het ‘business-to-consumer’-segment is 1 á 2 jaar. Na deze periode zal ook de ttp-dienstverlening voldoende ontwikkeld zijn en voldoende marktacceptatie en bekendheid hebben, en is een techniek als SET op grote schaal geaccepteerd. Rond de eeuwwisseling kan dan gesproken worden van een echte elektronische marktplaats.
Paul Helmich,
consultant Electronic Commerce bij CSC Computer Sciences BV.
E-commerce, deel 3
Elektronische handel, e-commerce, digitaal zakendoen: het verschijnsel staat bekend onder vele namen. Maar hoe het ook moge heten: het leidt, zeker in Nederland, een kommervol bestaan. Of misschien moeten we zeggen: vooralsnog. Want de groeimogelijkheden lijken, ook in Nederland, respectabel. Wellicht eerder in het verkeer tussen bedrijven onderling dan tussen leverancier en consument.
Reden voor Computable om de komende weken de schijnwerper te zetten op een aantal facetten van e-handel.
