Overslaan en naar de inhoud gaan
Achtergrond PRO
9 april 2008 leestijd 3 minuten 0 reacties

Datadiefstal kost meer dan betere beveiliging

Hoewel het aantal digitale aanvallen dat gebruikmaakt van zwakke plekken in software fors toeneemt, controleren maar weinig bedrijven applicaties op lekken. Chenxi Wang, analist bij Forrester, constateert dat het aantal gebruikers en geïnteresseerden in tools hiervoor toeneemt. Het zijn er echter bij lange na nog niet genoeg. “Het probleem is dat veel bedrijven veel problemen hebben om op te lossen. Als er dan geen regelgeving is om dat af te dwingen, heeft het totaal geen prioriteit.
Redactie AG Connect
Redactie AG ConnectMeer van deze auteur
Tech & Toekomst
Shutterstock
Shutterstock


In een rapport dat Wang woensdag 2 april presenteerde op het Security Forum van Forrester in Amsterdam, laat zij zien hoe duur de aanvallen van computercriminelen zijn en hoe organisaties zich daarop kunnen voorbereiden. “Volgens leveranciers van beveiligingssoftware zoals Symantec en Panda is het aantal malware-versies vorig jaar zeer fors gestegen. Dat komt vooral doordat bedrijven meer gebruikmaken van Web 2.0-technologie voor hun bedrijfsvoering. Veel bedrijven gebruiken het graag omdat het nieuwe diensten mogelijk maakt. Maar het is veel complexer dan traditionele technologieën waarbij de relatie server-browser veel duidelijker was. Bij Web 2.0 is niet duidelijk wel deel van de applicatie zich richt op de server en welk op de client. Dan wordt het moeilijker deze software te testen op zwakke plekken. In 2007 was 67 procent van de zwakke plekken te vinden in webapplicaties. Bedrijven realiseren zich niet dat die zwakke plekken er zijn en welke aantrekkingskracht dat heeft op hackers.” Een betere beveiliging hierbij is hard nodig en ook mogelijk, maar als organisaties zich er niet van bewust zijn, doen ze er niets aan.
“Het verlies van data kost 300 dollar per datarecord. Dat zijn zeer hoge verliezen, want diefstal of verlies van tienduizend data per incident zijn niet ongewoon. Als je dat vergelijkt met de kosten die men moet maken om de applicaties te scannen op fouten met tools, dan is de businesscase snel gemaakt.” Wang stelt dat het hard nodig is om zulke duidelijke berekeningen te kunnen maken van de kosten van dataverlies. “Het zijn de beste argumenten voor bedrijven om te kiezen voor een betere beveiliging.”
Tijdens hetzelfde congres beschreef analist Bill Nagel de verwachte opkomst van de mobiele telefoon als authenticatie-instrument. “Authenticatie met tokens en cardreaders is prima. Maar als je voor allerlei toepassingen een token krijgt, dan ontstaat het probleem van de token-necklace. Je hebt al snel te veel hardware en daarmee valt een deel van het gemaksvoordeel van tokens weg. Terwijl vrijwel iedereen de beschikking heeft over een mobiele telefoon en daar tamelijk zuinig op is. Gebruik dat dan als token! Gecombineerd met een PKI-certificaat is het veiliger en goedkoper.” Het is veiliger omdat berichten voor bijvoorbeeld elektronisch bankieren via een gescheiden kanaal op internet verstuurd worden. Nagel stelt dat hiermee het risico dat ‘the man in the middle’ oplevert, vermeden kan worden. “Bij gewoon via internet bankieren kan die ‘man in the middle’ gegevens stelen en misbruiken. Dat sluit je hiermee uit.”
Veilig gebruik van de mobiele telefoon als identificatie-instrument is gebaseerd op PKI-certificaten. Die zijn encrypted opgeslagen op een elektronisch afgesloten deel van de simkaart. Het vereist zeer veel rekenkracht om dat te decrypten. “Technisch is het vrijwel onkraakbaar. Het enige gevaar komt van social engineering en phishing”, aldus Nagel.
De mobiele telefoon als identificatie-instrument lijkt een logische oplossing, maar aanbieders lopen wel tegen een paar grote problemen aan, waarschuwt Nagel. Ten eerste zijn er de mobiele operator en de banken. Dat zijn geen natuurlijke partners. Zij moeten wel samen om de tafel om precies vast te leggen en te begrijpen wat hun voordelen en taken zijn. Voor mobiele operators is het bijvoorbeeld nieuw om zo met identiteitsbeveiliging om te gaan. Daar staat wel tegenover dat het de operator veel geld op kan leveren dankzij de vele sms-berichten die verstuurd worden bij de identificatie. Ook kunnen diezelfde ID-diensten verkocht worden aan webshops.”
Problematisch is tevens dat de gebruikers hun simkaarten moeten omwisselen voor kaarten die hiervoor geschikt zijn. Daar komt ook bij dat mobiel bankieren duur kan zijn voor consumenten door de vele sms’jes die ervoor nodig zijn.
Volgens Nagel heeft de mobiele telefoon als ID-medium echter “veel potentie. Het is het eerste jaar voor die systemen. De markt onderzoekt nu of het zal werken. Maar als het ervan komt, ben ik ervan overtuigd dat het een goed werkend systeem is. Er zijn nog veel meer toepassingen voor mogelijk, zoals je mobiele telefoon als nationale identiteitskaart. Finland en Zweden hebben er al toe besloten de nationale ID-kaart op de simkaart te laten zetten.”
/t.vrede@sdu.nl

Lees dit PRO artikel gratis

Maak een gratis account aan en geniet van alle voordelen:

  • Toegang tot 3 PRO artikelen per maand
  • Inclusief CTO interviews, podcasts, digitale specials en whitepapers
  • Blijf up-to-date over de laatste ontwikkelingen in en rond tech

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in