Is het veilig?

Palmtops en pda's raken steeds meer ingeburgerd, maar wil m-commerce echt van de grond komen dan moet de volledige it-keten goed beveiligd worden, zo zeggen sommige experts.

Het ict-kantorengebied in Solna aan de rand van Stockholm oogt niet erg inspirerend; strakke kantorengebouwen en bouwputten bepalen de bedrijventerreinen. Ook het Zweedse hoofdkwartier van Compaq is niet bepaald oogstrelend om te zien. Toch is hier het enige Wireless Center van de pc-fabrikant gevestigd: een tentoonstellingsruimte waar Compaq allerlei mogelijkheden op het gebied van draadloze communicatie demonstreert.

Bij binnenkomst krijgt men een Compaq iPAQ in de handen gedrukt: een Pocket PC waarop men via het draadloze lan onbeperkt kan surfen. Toegegeven: dat gaat nog wat stroef. De webpagina's worden zelden beeldvullend op het scherm weergegeven, maar het is niet moeilijk voorstelbaar dat dit voor iedereen de toekomst gaat worden. Always on, altijd met het netwerk verbonden, met behulp van handzame apparaatjes.

Marktvorser Gartner gaat er van uit dat ruim de helft van de Europese bedrijven in de nabije toekomst een draadloos lan (Local Area Network) gaat gebruiken, zodat pda's en laptops niet langer fysiek aan het netwerk gekoppeld hoeven te worden. Daarnaast raakt, ondanks enkele faillissementen van grote aanbieders in de VS, ook het gebruik van draadloze Wide Area Networks (wan's) in vliegvelden, in de horeca en hotels steeds meer ingeburgerd. Zoals ook de komst van gprs zal zorgen voor een (forse) toename van het gebruik van palmtops en aanverwante apparaten. Dat brengt de mogelijkheden van m-commerce in elk geval stukken dichterbij.

In een video toont Compaq de mogelijkheden op dit gebied: elektronisch inchecken op het vliegveld zonder in de rij te hoeven staan bijvoorbeeld, de pda richten op een mini-webserver aan de wand om informatie over het openbaar vervoer op te vragen, in de taxi draadloos de gegevensbestanden van de onderneming raadplegen en zo snel een klant kunnen helpen.

Toch blijkt uit onderzoek dat veel bedrijven met de implementatie van dergelijke technieken wachten vanwege het gebrek aan beveiliging. Daar valt wat voor te zeggen: dit jaar alleen al blijven er volgens Gartner 250.000 mobiele telefoons achter op vliegvelden in de Verenigde Staten. In Londense taxi's laten passagiers in zes maanden gemiddeld zo'n 60.000 mobieltjes liggen. "Nu zijn het nog mobiele telefoons", zegt Risto Siilasmaa, directeur van het bedrijf F-Secure. "Maar straks zijn het palmtops met bedrijfsgevoelige informatie die u zeker niet uit handen wilt geven." Daarom demonstreert Siilasmaa hoe de gegevens of specifieke bestanden op de palmtop kunnen worden versleuteld. Zijn organisatie levert daar software voor. Wachtwoorden om gegevens af te schermen zijn geen oplossing, zegt Mitul Mehta van de Engelse consultant TekPlus. "Je kunt makkelijk over iemands schouder meekijken."

Zo zijn er tientallen potentiële bedreigingen voor het mobiele dataverkeer: Trojaanse paarden bijvoorbeeld, of virussen voor Pocket PC en andere besturingssystemen die wellicht volgend jaar al zouden kunnen toeslaan. Daarom vindt Compaq dat de volledige it-keten voor mobiele toepassingen afgeschermd moet worden. Niet alleen door de servers op het netwerk te beveiligen, maar ook de apparaten zelf en de communicatie daartussen.

Autorisatie

End-to-end oplossingen, daar gaat het om. Om die reden werkt Compaq nauw samen met partners als F-Secure, SmartTrust, RSA Security, Infowave, Entrust en Columbitech, die stuk voor stuk technieken op dit gebied ontwikkelen. Een paar oplossingen worden in het Wireless Center in Stockholm getoond: een pcmcia-kaart met vingerafdrukherkenner bijvoorbeeld. De kaart heeft een uitschuifbaar gedeelte waarop duim of vinger geplaatst moet worden. Niet alleen zouden op deze wijze online betalingen geautoriseerd kunnen worden, maar ook toegang kunnen worden geboden tot lokale draadloze netwerken. Om misbruik te voorkomen kan de configuratie voor de herkenning van de afdrukken alleen door een systeembeheerder worden aangepast. Chipkaarten zijn sowieso geschikt voor de bescherming van gegevens omdat verschillende technieken gecombineerd kunnen worden, zoals encryptiesleutels in combinatie met pin en wachtwoorden. Met biometrische technieken erbij wordt dat dus nog veel veiliger.

Bedrijven zijn echter nogal terughoudend als het gaat om biometrische identificatie. Irisscans (oogherkenning) schijnen te mislukken als men veel koffie heeft gedronken, een te hoge bloeddruk heeft of aan diabetes lijdt. Vingerafdrukken wekken bij sommigen een schrikbeeld op: namelijk dat de vinger die toegang tot (geheime) informatie kan verschaffen kan worden afgehakt. "Of die angst nu terecht is of niet, geen onderneming wil dat op zijn geweten hebben", zegt een Compaq medewerker.

Ook de verbinding tussen de pda en de server moet beter worden afgeschermd dan nu het geval is, vindt Compaq. Zo kan bijvoorbeeld de ip Security Protocol-code worden gebruikt wordt om een afgeschermde vpn (Virtual Private Network) verbinding op te zetten. Palmtops zullen in de toekomst moeten worden voorzien van firewalls: software die de apparatuur voor indringers onzichtbaar maakt. "Je moet met allerlei bedreigende situaties rekening houden", zegt Mehta van TekPlus. Risto Siilasmaa wijst op het feit dat zes jaar geleden bedrijven nog goed afgeschermd waren. "Je had op dat moment eigenlijk alleen een intern netwerk dat niet aan het internet was gekoppeld. In feite was het bedrijf daarmee een soort kasteel dat moeilijk bestormd kon worden. Maar tegenwoordig is de onderneming veel meer een vliegveld met bedreigingen die van alle kanten op je afkomen. Daar zul je bescherming tegen moeten bieden."

Veel van wat in Stockholm wordt getoond lijkt op het eerste gezicht ietwat overdreven: als een palmtop wordt gestolen, kan de dief hooguit het adressenboek en de agenda inzien. Is zo'n end-to-end oplossing, waarbij de volledige it-keten moet worden betrokken, eigenlijk wel nodig? Beveiligingsexpert Michael Angelo van Compaq vindt van wel. "Nog afgezien van het feit dat dieven toegang zouden kunnen krijgen tot een netwerk met bedrijfsgegevens, kan informatie ook achterblijven in de cache (een locatie op de harde schijf waar gegevens tijdelijk voor hergebruik worden opgeslagen – jl). Vroeger dacht men dat door een server goed af te schermen, de beveiliging optimaal was. Maar sindsdien hebben we gezien dat medewerkers in bedrijven de beveiliging wisten te omzeilen, bijvoorbeeld door de harde schijf te verwijderen en die in een ander werkstation te plaatsen."

Er is volgens Angelo nog een reden dat beveiliging belangrijk wordt gevonden: pas als gebruikers het idee hebben dat zij veilig draadloos betalingen kunnen verrichten zal m-commerce pas echt van de grond kunnen komen.