Succes EDI door
beveiliging bepaald
Betrouwbaar en vertrouwelijk
Het lijdt geen twijfel: de vraag naar
EDI-diensten zal in de komende jaren
sterk toenemen. De markt zal zich
met name richten op bedrijfszekere
systemendie garanderen dat berich
ten ongeschonden van de afzender
naar de bedoelde ontvanger - en nie
mand anders - worden overgedra
gen.
In deze bijdrage wordt ingegaan op
de specifieke risico 's van EDI en de
maatregelen, die daartegen geno
men kunnen worden.
it de toenemende belang
stelling voor Electronic Data
Interchange (EDI) mag afge
leid worden dat de gebrui
kers profijt hebben van deze
snelle en efficiënte wijze van
communiceren. Het ligt dan
ook in de lijn van de ontwik
kelingen dat EDI steeds meer geïnte
greerd wordt in het bedrijfsproces. Ook
'gevoelige' informatie wordt aan dit
communicatietraject toevertrouwd. Het
aspect 'beveiliging', dat tot nu toe vaak
slechts als sluitpost in de ontwikkeling
was meegenomen, krijgt daardoor een
belangrijk accent.
In een online databank met per
soonsgegevens is het bijvoorbeeld
noodzakelijk dat uitsluitend bevoegden
toegang krijgen tot de gegevensverza
meling of tot slechts die onderdelen
waartoe zij bevoegd zijn.
In een geautomatiseerd online bank
systeem, waarmee cliënten via data-
communicatie-faciliteiten betaalop
drachten kunnen aanleveren, is het een
voorwaarde dat de cliënt betrouwbaar
geïdentificeerd kan worden en dat het
systeem waarborgt dat de betaalop
drachten authentiek zijn.
Een centraal online fiattering sys
teem voor bankkantoren vereist een
zeer grote beschikbaarheid, opdat alle
kantoren hun bancaire werkzaamheden
kunnen blijven uitoefenen.
Beveiligen is maatwerk
Beveiliging is veelal maatwerk, waarbij
23 een evenwicht wordt gezocht tussen
enerzijds de behoefte aan zekerheid en
anderzijds de mogelijkheden tot beveili
ging, de kosten ervan en de eventuele
verdere nadelige consequenties voor
de uitvoering van de EDI-dienst.
Bij het ontwerpen en inrichten van een
EDI-dienst moet vanaf het begin reke
ning worden gehouden met de eisen
die uit hoofde van beveiliging moeten
worden gesteld. Deze aanpak geeft de
beste garantie voor een effectieve en
efficiënte beveiliging van het systeem.
In het verleden is aan dit aspect vaak
onvoldoende aandacht geschonken,
waarbij trouwens ook aangetekend
moet worden, dat de technische moge
lijkheden beperkter waren dan thans
het geval is.
De aandacht dient zich vanaf het begin
op alle deelaspecten te richten. Het
krijgen van voldoende inzicht in het
'beveiligingsprofiel' van bijvoorbeeld
een softwarepakket vereist vaak
aanzienlijke inspanningen.
Het 'certificeren' van software door een
onafhankelijke kwaliteitscontrole dienst
(vaak EDP-auditors geheten) zal ertoe
bijdragen dat er software op de markt
komt met een herkenbare beveiligings
kwaliteit. Begin jaren negentig wordt de
'boom' verwacht voor dit soort beveili
gingsvoorzieningen.
Veiligheid is geen statisch gegeven.
Beveiligingsrisico's veranderen met het
voortschrijden van de techniek. Maar
de werkwijze van de criminele circuits is
ook aan verandering onderhevig. Dit
betekent dat niet alleen in het ontwikke-
lings- en realisatiestadium aandacht
moet worden besteed aan de beveili
ging: het is bovendien noodzakelijk dat
op gezette tijden de bestaande dien
sten. de voortbrengingsprocessen en
de faciliteiten op hun waarde worden
onderzocht en dat waar nodig aanpas
singen worden doorgevoerd.
Grote bedrijven die sterk afhankelijk
zijn van de geautomatiseerde gege
vensverwerking, waaronder financiële
instellingen, beschikken over eigen
EDP-auditing afdelingen, die bij voort
during de betrouwbaarheid en beveili
ging van geautomatiseerde systemen
inclusief de datacommunicatie-netwer
ken beoordelen en daarover rapporte
ren. Ook de grote accountantskantoren
hebben dergelijke deskundigheid in
huis.
Bij het beveiligen van EDI-diensten
worden in de regel verschillende doel
stellingen nagestreefd.
Het zeker stellen van een betrouwbare
dienstverlening is een belangrijke ba
sisvoorwaarde. De advocaat die bij
voorbeeld de Juridische Databank van
Kluwer raadpleegt, wil er zeker van zijn
dat hij een juist antwoord krijgt op zijn
consultatie van het systeem. De bank,
die een elektronisch betalingssysteem
exploiteert wil er zeker van zijn dat de
betalingsopdracht, die hij ontvangt au
thentiek is.
Voorwaarden voor betrouwbare dienst
verlening zijn onder meer:
een begrijpelijke manier van commu
niceren met het systeem door de eind
gebruiker;
voldoende controles in de geauto
matiseerde processen om eventuele
storingen in de verbindingen, de appa
ratuur of de programmatuur te ontdek
ken en zo mogelijk te herstellen;
een effectieve kwaliteitscontrole van
alle samenstellende delen van de EDI-
dienst;
een goed functionerend en goed be
veiligd systeembeheer.
Het 'vertrouwelijk' behandelen van ge
gevens door het EDI-systeem moet
eveneens binnen het beveiligingscon
cept als uitgangspunt worden geno
men.
In een aantal gevallen bieden commu
nicatienetwerken onvoldoende be
scherming tegen het 'afluisteren'. Bij
menige EDI-dienst bestaat, onder meer
afhankelijk van het toegepaste commu
nicatiemedium, het risico dat de gege
vens door onbevoegden kunnen wor
den gewijzigd. Encriptie is een daartoe
in te zetten beveiligingstechniek: de be
richtgeving wordt bij verzending geco
deerd. Bij ontvangst wordt de data-
stroom gedecodeerd, zodat deze toe
gankelijk is voor verdere verwerking.
Ing. H. A. G. M.
van Kemenade
EDP-Auditing
