Het is de hoogste tijd voor veiligheidscertificering van Internet-providers

„Veel bedrijven die nu in de rij staan om het B2B-circuit op te gaan, beginnen te beseffen dat Internet geen beveiligde omgeving is en dus een bron van reële risico’s vormt.” Dat stelt Allard Duut van Goor, secretaris van het Genootschap van Informatie Beveiligers (GvIB) en adviseur informatiebeveiliging bij Shell Services International. Incidenten „Er moet meer aan informatiebeveiliging worden gedaan als men Internet opgaat. Dat besef is gelukkig groeiende. Bij het uitbesteden van diensten gaan de beveiligingsaspecten steeds zwaarder wegen.” Gezien de incidenten van de laatste tijd plaatst Duut van Goor wel vraagtekens achter de beveiliging die providers over het algemeen te bieden hebben. „Het wordt tijd dat gedegen onderzoek wordt gedaan naar de mate waarin providers hun infrastructuren hebben beveiligd. De geconstateerde mate van beveiliging zou in een certificering of keurlabel tot uitdrukking moeten worden gebracht”, vindt hij. De standaard SLA’s die de meeste providers hun klanten voorhouden, zijn eenzijdig en in het voordeel van de aanbieder opgesteld. „Ik vind het onbegrijpelijk dat klanten van deze providers nog niet zo ver zijn dat ze beveiligingscertificering eisen op basis van de ISO-code voor informatiebeveiliging”, vindt Duut van Goor. „Het wordt nu wel eens tijd dat de klant op deze groeiende en florerende markt wat mondiger wordt. Eén van de doelstellingen van onze vereniging is dan ook om leden die hun IT-infrastructuur op Internet uitbesteden, de nodige basiskennis bij te brengen. Gewapend met die kennis kunnen zij beter onderhandelen en met hun providers tot SLA’s komen waarin het hoofdstuk van informatiebeveiliging zo goed mogelijk wordt afgedekt.” Een ander reëel risico noemt Duut van Goor het ontwerp van de bedrijfswebsite. Veel bureaus die diensten aanbieden voor het ontwerpen van sites, ontwikkelen eigen standaarden. Daarin ligt de nadruk op uiterlijk en functionaliteit. Beveiliging kan in de regel niet tot de hoogtepunten worden gerekend. Doorzichtig Duut van Goor: „Het is vaak heel doorzichtig voor de hacker. Hij kan aan de presentatie en de ontwerpfouten in één oogopslag zien welke software-van-de-plank de creatieve ondernemer gebruikt c.q. welk ontwerpbureau de maker van een verkoopsite is. Telkens worden dezelfde, herkenbare standaardmethodieken en hulpprogramma’s gebruikt. Een voorbeeld is het gebruik van ’active content’ in raamwerk- pagina’s die zichtbaar worden wanneer gegevens uit databases worden opgehaald. De hacker dringt moeiteloos door tot de zwakke plekken van deze systemen. Het minste waarmee bij dergelijke ontwerpen rekening zou moeten worden gehouden is een goede input-validatie, zodat de software niet op het verkeerde digitale been gezet kan worden. Bij interactieve webapplicaties worden dergelijke beveiligingsdrempels zelden of nooit meegenomen.”