Authenticatiespecialist Vasco gaat samenwerken met de Arnhemse it-beveiligingsleverancier AET Europe. Samen brengen ze een public key infrastructure (pki)-oplossing op de markt. Het Amerikaanse bedrijf kocht begin 2011 nog het Beverwijkse Diginotar vanwege zijn pki-technologie, maar die overname liep na een hacking-schandaal slecht af. De samenwerking met AET kan worden beschouwd als een alternatieve oplossing om alsnog pki-technologie te kunnen aanbieden.
Het Nederlandse bedrijf AET, met hoofdvestiging in Arnhem en opgericht in 1998, concentreert zich op it-beveiliging. Het biedt zijn klanten oplossingen, gebaseerd op wereldwijd geaccepteerde standaarden voor e-handel en informatiebeveiliging. Dit doen ze door de ontwikkeling van cryptografische middleware en kaartbeheersystemen. Het bedrijf is vooral gespecialiseerd in pki-producten.
Vasco kocht begin 2011 Diginotar, de Beverwijkse leverancier van beveiligingscertificaten en pki-specialist. Het bleek een kat in de zak. Nadat de digitale certificaten bleken gehackt en de overheid, de belangrijkste klant, het vertrouwen in het bedrijf opzegde, ging Diginotar later dat jaar failliet. Vasco kiest er nu voor om niet meer via een overname maar middels een samenwerkingsverband een pki-oplossing te kunnen aanbieden. Het bedrijf werkte al langer samen met AET.
Het gebundelde product zal in verschillende markten en in verschillende regio’s wereldwijd beschikbaar zijn. Banken en ondernemingen kunnen vanaf deze maand al kiezen voor deze twee-factor authenticatieoplossing om op een beveiligde manier documenten of e-mails te ondertekenen of versleutelen.
Twee-factor
De pki-technologie van AET, Safe Sign Identity Client, wordt geïntegreerd in de Digipass Key-productlijn van Vasco. De SafeSign IC-middleware is ontwikkeld om tokens, die digitale handtekeningen genereren, te integreren in verscheidene certificaat-bewuste applicaties. Op deze manier is het mogelijk om twee-factor authenticatie aan te bieden op alle belangrijke platformen.
Doorgaans wordt het opstartsysteem van een computer beveiligd met een statisch wachtwoord. De Digipass Key van Vasco in combinatie met AET’s middleware biedt echter een hogere beveiliging dankzij de op certificaten gebaseerde pki-technologie en de mogelijkheid om tijdelijke bestanden op de harde schijf en buiten het besturingssysteem te versleutelen. Verder is bij een systeemopstart ook authenticatie met softwareoplossingen van derden mogelijk.
Wat een beetje jammer is, voor de IT professionals, is toch ietwat inzicht te krijgen hoe zakeln zijn verlopen. Allereerst een proficiat voor de professionals die een nieuwe plek hebben gevonden natuurlijk.
Inhoudelijke controle
Zaken doen blijft altijd een zaak van vertrouwen. Je kunt alleen maar hopen dat Vasco van het Diginotar debacle heeft geleerd en een gedegen aangepaste vragenlijst heeft op weten te stellen waarmee men kan concluderen of de processen bij AET op orde zijn.
Test en Change proces
Het is overduidelijk geweest dat het test proces bij Diginotar op zijn minst gezegd ‘Onvoldoende’ is geweest. En dat is een zeer ernstig gegeven wanneer je klanten een zeer vertrouwenswaardige beroepsgroep en de overheid is. Dan zou je wel degelijk extra stappen in het proces moeten hebben ingebouwd zaken continue te controleren.
Daar hoort ook een gedegen change en Release process bij waar je de laatste zaken maar ook een roll back gedegen bekijkt. ook die heeft bij Diginotar ontbroken.
Never Asume Always Verify
Ditzelfde geld ook voor de ontvangende partijen. Ook daar zijn de genoemde processen klaarblijkelijk niet op orde gebleken. Een zeer belangrijke wet binnen automaiseren is nooit iets zomaar aan te nemen maar nog eens extra te controleren. Je zou verwachten dat met name de overheid dergelijke processen goed in zicht en onder controle had.
Het feit dat zij al lange tijd gebruik maakten van besmette certificaten is een tegenvaller voor het aanzien van de betrokken automatiseerders bij de overheid.
Dergelijke triviale processen mag en kan je nu eenmaal niet op anderen afwentelen of je achter dooddoenende regeltjes verschuilen. Je bent dat gewoon aan je professionele eer verplicht. Zo eenvoudig moet dat zijn.
Vasco en AET
Laten we hopen dat die processen bij AET goed in het visier staan en zijn geimplementeerd. Het is prachtig dat je allerlei aanvullende beveiligende zaken bedenkt natuurlijk. Maar wanneer test en Change en Release processen niet goed op orde zijn, kunnen fouten nu eenmaal makkelijk geimplementeerd worden. Vooral als het fouten zijn die in het product zelf zitten.
Ik wens Vasco en AET bijzonder zakelijk succes. Je kunt gelukkig Vasco niet een vinger wijzen voor onvermogen elders door anderen ten toon gespreid.
Wederom een goede les voor elke IT professional en management.