Digitale orders en facturen waren altijd het terrein van EDI (electonic data interchange). De eisen voor beveiliging waren eerst te hoog voor het chaotische internet. Het kan nu echter toch anders, en goedkoper.
"Door het gebruik van aparte netwerken zijn traditionele vormen van EDI vaak veel te duur", meent Ben Rinkel van het Nederlandse softwarebedrijf ECS. "Het AS2-protocol is dan een goed alternatief. Het biedt dezelfde security en vertrouwelijkheid, maar dan via internet."
Bedrijven met logistieke ketens werken vrijwel uitsluitend met digitale orderformulieren. Dit soort toepassingen zijn gebaseerd op EDI-technieken (electronic data interchange) die echter nogal hoge kosten met zich meebrengen. Dat komt vooral doordat EDI tot nu toe alleen in combinatie met ‘value added networks’ (VAN) wordt toegepast. Dat moest tot voor kort ook wel, omdat het internet als onveilig werd beschouwd.
"Dat beeld bestaat inderdaad nog altijd, maar is toch wel flink achterhaald", vertelt Ben Rinkel, directeur van ECSin Wognum. Deze firma levert in ons land VersaLex, programmatuur die elektronische formulieren op een veilige manier over het internet verstuurt. "De kostenvoordelen van het internet zijn zo groot, dat vanuit de Internet Engineering Task Force (IETF) hard is gewerkt om tot afspraken te komen die het mogelijk maken om via het internet verstuurde berichten net zo veilig en vertrouwelijk te maken als met EDI en VAN’s mogelijk is."
Terugmelding
AS2 – de letters staan voor ‘applicability statement 2’; er bestaat ook een AS1 (zie kader) – is een specificatie die voorschrijft hoe data op een veilige en betrouwbare manier via het internet kan worden verstuurd. Die data kan gestructureerd zijn als EDI-bericht, maar ook andere typen berichten kunnen met AS2 worden beveiligd. De data wordt bij AS2 eerst versleuteld en van een certificaat voorzien en pas daarna verzonden.
Het protocol schrijft voor hoe een verbinding moet worden opgezet en hoe het bericht verzonden, afgeleverd en gevalideerd dient te worden. Ook bepaalt deze specificatie dat de correcte ontvangst van een bericht weer moet worden teruggemeld aan de verzender. Dat gebeurt via een zogenaamde ‘message deposition notification’ (MDN). Vooral dat laatste punt is een belangrijk verschil ten opzichte van bijvoorbeeld secure FTP.
Client én server
AS2 is bedoeld voor punt-naar-punt verbindingen tussen twee systemen. Veelal gaat het dan om een client en een server. Overigens kan een AS2-client ook een server zijn die applicaties draait voor andere clients. Op die manier kan dus een hele keten van beveiligde berichten worden gerealiseerd.
Rinkel: "Met name het feit dat geen kostbaar VAN meer nodig is, maakt het gebruik van AS2 interessant. Vaak zitten de kosten bij een VAN nog niet eens zozeer in de vaste kosten voor het afnemen van dit soort diensten. De werkelijke kosten zitten ‘m veelal in het bedrag per verzonden bericht. Bedrijven die in hun logistieke keten veel met elektronische berichten werken, versturen vaak enorme aantallen berichten. Daardoor kan die kostenpost fors oplopen. Het internet gebruiken is dan uiteraard een aantrekkelijk alternatief."
Opletten
Toch zijn er enkele belangrijke aandachtspunten voor het gebruik van AS2. Juist omdat het om een punt-naar-punt verbinding gaat, is gebruik van statische ip-adressen verplicht. Dit kan tot problemen leiden voor kleine partijen in een logistieke keten die een gebrek aan eigen ict-mensen hebben. Hetzelfde geldt voor het gebruik van firewalls.
AS2 werkt uitsluitend in een tcp/ip-omgeving en kan geen data ophalen bij een andere partij. Dat heeft als voordeel dat er alleen berichten gestuurd kunnen worden op initiatief van de verzender. Daar staat als nadeel tegenover dat er in een logistieke keten dus altijd een betrokkenheid gewenst is van de klant. Met name bij ‘vendor management inventory’ moet dat goed geregeld worden.
Ontvangstbevestiging
Ook het werken met de ontvangstbevestigingen zal voor menig ict-afdeling even wennen zijn. De correcte ontvangst van een bericht moet via de genoemde MDN-notificatie worden bevestigd. Of deze notificatie wel door de oorspronkelijke verzender is ontvangen, wordt echter niet bevestigd. Dat AS2 uitgaat van 3DES als encryptiemethode (168 bits) en niet het steeds vaker toegepaste AES (256 bits), is volgens Rinkel geen probleem. "Het gebruik van AS2 voor het verzenden van elektronische berichten is wat security betreft even veilig als telebankieren."
Een kostenberekening voor AS2 is een afweging tussen enerzijds de uitgaven voor berichtenverzending via een value added network en anderzijds de benodigde investeringen voor AS2-communicatiesoftware. Volgens Rinkel verstookt een bedrijf dat traditionele EDI-vormen gebruikt al gauw veertigduizend euro per jaar aan berichten. "Dat bedrag komt bovendien ieder jaar terug", waarschuwt hij. Daarmee geeft hij gelijk ook een indicatie van de investeringsruimte die bedrijven hebben.
Het AS2-protocol
Om elektronische berichten veilig over internet te kunnen sturen, heeft de Internet Engineering Task Force twee protocollen ontwikkeld: AS1 en AS2.
AS1 biedt zogeheten ‘secure/multipurpose internet mail extensions’ ofwel S/MIME-encryptie (secure multipurpose internet mail extensions) over smtp (simple mail transfer protocol). S/MIME maakt het dus mogelijk om standaard e-mails te gebruiken voor het verzenden van berichten. Die zijn vervolgens te beveiligen door middel van een aantal functies die zorgen voor authenticatie en de integriteit van het bericht.
AS2 richt zich op het versturen van EDI-berichten via het openbare internet. Dit gebeurt door (MIME) te combineren met het http-protocol. In plaats van mail (SMTP) wordt dus http als transportmechanisme toegepast. AS2 regelt niets ten aanzien van de inhoud van een bericht, maar creëert daar als het ware een envelop omheen die vervolgens wordt beveiligd.
40.000
euro per jaar, verstookt een gemiddeld bedrijf aan EDI-berichten
Het verhaal klopt, maar er kan nog wel wat aan worden toegevoegd. In de praktijk zien wij (en wij zijn een EDI-serviceprovider) nog een aantal aspecten:
Ten eerste zien we alternatieve (VAN) providers die tegen VASTE tarieven hun diensten bieden waardoor het effect van “meer berichten” = “meer betalen” niet meer geldt.
Daarbij moet tevens worden opgemerkt dat de kosten voor EDI de afgelopen jaren spectaculair zijn gedaald zowel voor de software als de VAN-kosten. Bedrijven die nu het zelfde of meer betalen dan een jaar of drie terug, moeten zich maar eens opnieuw orienteren.
Het tweede dat we zien is dat AS2 zowel technisch als organisatorisch complex is. Vaak te complex voor het MKB. Ook de organisatorische en beheersaspecten vallen vaak tegen, denk hierbij aan het vernieuwen van certificaten en het opzetten en onderhouden van diverse verbindingen. Wij kennen verschillende bedrijven die begonnen zijn met AS2 en dit nu toch weer uitbesteden aan een dienstverlener.
Kortom als je EDI doet en het goedkoper wilt maken, ga eens praten met een aantal van de (moderne) dienstverleners op dit gebied. In sommige gevallen kan je bijvoorbeeld ook alle beheer aspecten outsourcen.
Als je EDI wilt gaan opzetten is het sowieso verstandig om met deze bedrijven te praten omdat je anders een aantal wielen op een dure manier opnieuw gaat uitvinden.
“Dat komt vooral doordat EDI tot nu toe alleen in combinatie met ‘value added networks’ (VAN) wordt toegepast.”
Wij gebruiken EDI toch echt al zo’n 15 jaar zonder VAN, eerst via X25, nu via ISDN. Een VAN voegt in onze situatie geen waarde toe, maar verhoogt slechts de kosten. Gezien de huidige lage kosten van EDI is ook omschakelen naar AS2 momenteel niet aantrekkelijk.
@ Wim Sjouw
het rechtstreeks versturen via ISDN gaat alsnog via een VAN, waarschijnlijk een X400 box, GSX Mailbox etc.
Je wordt afgetikt per bericht cq berichtgrootte. Een overstap naar AS2 KAN dus kostenbesparend zijn, maar is idd afhankelijk van het aantal berichten dat je verstuurt.
Beste Peter, je hebt gelijk dat vele AS2-oplossingen complex zijn. Dat is juist waarom onze Cleo AS2-oplossing een verademing is, ook voor het MKB. Wij hebben in de Cleo-software pre-configured connecties beschikbaar voor alle grote AS2-gebruikers als DHL, DeliXL, Ahold, Delhaize, Carrefour en vele andere (plusminus 500 connecties direct te downloaden). Dit maakt een AS2-verbinding met gebruik van Cleo ready to go in 30 minuten! Ook wat betreft de certificaten heb je een punt. Daarom is er in de Cleo-software een certificaatgenerator ingebouwd die gratis self-signed certificaten kan aanmaken en deze direct in de software kan toepassen (2 minuten werk …). Hierdoor wordt AS2 toch snel bereikbaar van kleine en grote bedrijven. (zie http://www.ecs-europe.nl)