• Embed Doc
  • Copy Link
  • Readcast
  • Collections
  • CommentGo Back
Download
 
Security 
Management 
nummer 1/2 januari/februari 2008
20
De laatste jaren is de security manager steeds vaker verantwoordelijkvoor bedrijfsrisico’s en niet langer alleen maar voor veiligheidsrisico’s.Hierdoor krijgt hij naast fysieke beveiliging ook steeds vaker te makenmet vraagstukken op het gebied van logische beveiliging. In dit artikelaandacht voor de belangrijkste trends en de grootste actuele dreigingendie invloed hebben op de beveiliging van een bedrijf. Tevens wordt eenaantal aanbevelingen gedaan om tot een optimale beveiliging te komen.
E
LISABETH
 
DE
L
EEUW 
*
Veiligheid en identiteits
I
dentiteitsmanagement in de breed-ste zin van het woord speelt eencentrale rol bij beveiligingsproces-sen. Het gaat daarbij zowel om toe-gangscontrole, waarbij het recht optoegang van de persoon wordt gecon-troleerd, als om toezicht, waarbij wordtbewaakt of het gedrag van personen debeveiliging bedreigt of aanpast. Onge-wenste activiteiten en informatie-uitwisseling kunnen met behulp van
datamining 
worden herleid tot indivi-duen en vice versa. Identiteitsgegevenskunnen daarnaast een belangrijke rolspelen bij de routering van personen,bijvoorbeeld op luchthavens.Simpel gezegd: als je niet weet
wie
eraan de poort staat, weet je niet of je depoort moet openen of sluiten.
Maatschappelijke trends
In de publieke ruimte worden steedsvaker camera’s gebruikt om toezicht tehouden op grote anonieme groepen.Mede op basis van beelden van dezecamera’s kunnen criminelen en rad-draaiers worden opgespoord. Daar-naast hebben steeds meer particuliereorganisaties en ondernemingen eensysteem voor toegangscontrole.Uitwisseling van informatie en trans-acties vindt in toenemende mate plaatsvia het internet. In situaties waarinsprake is van een duidelijk maatschap-pelijk of financieel belang wordenvoorzieningen getroffen om de identi-teit van betrokkenen onlosmakelijkvast te stellen, zoals in geval vanelektronisch betalen en bankieren.Identiteitsmanagement speelt steedsvaker een rol bij het stroomlijnen vanlogistieke processen. Goederen enpersonen worden voorzien van RFID-chips, al dan niet voorzien van biome-trische kenmerken, aan de handwaarvan de identiteit kan worden vast-gesteld en toegangsrechten en route-ringsgegevens kunnen worden afgeleid.De aanslagen van 11 september 2001hebben de introductie van RFID-chipsmet biometrische kenmerken op iden-titeitsbewijzen wereldwijd in eenstroomversnelling gebracht. Het Ame-rikaanse Congres stelde het gebruikvan chips voorzien van biometrischekenmerken verplicht voor landenwaarvan de burgers zonder visum naarde Verenigde Staten mochten reizen.In aansluiting hierop is in Nederlandin augustus 2006 de nieuwe generatieelektronische reisdocumenten en iden-titeitskaarten ingevoerd. Deze zijnvoorzien van een chip met daarop depersoonsgegevens die ook op het reis-document staan, zoals foto, naam engeboortedatum en vanaf juni 2009 ookvingerafdrukken.
Opkomst van identiteitsfraude
De keerzijde van de centrale rol dieidentiteiten spelen bij beveiliging isidentiteitsfraude. Dit verschijnsel isniet van vandaag of gisteren. Vanoudsher hebben mensen een anderenaam aangenomen om aanzien te ver-werven, materieel voordeel te behalenof zaken te verkrijgen waarop mengeen recht had. In tijd van oorlog booden biedt een valse identiteit de moge-lijkheid om te spioneren of om te ont-snappen aan vervolgingen. In het hui-dige maatschappelijke verkeer biedtidentiteitsfraude de mogelijkheid fi-nancieel gewin te behalen of oneigen-lijke toegang te verkrijgen.
Met het be-lang van identiteitsmanagement neemtook de omvang van identiteitsfraude
bedrijfsbeveiliging
Het epassport is een voorbeeld van het  gebruik van biometrie.
 Als je niet weet wie er aan de poort staat, weet  je niet of je de poort moet openen of sluiten
20698-2_SECM 0108.indd 20
20698-2_SECM 0108.indd 20
21-01-2008 14:50:44
21-01-2008 14:50:44
 
Security 
Management 
nummer 1/2 januari/februari 2008
21
Phishing 
Bij deze relatief nieuwe vorm van frau-de wordt als eerste de identiteit vaneen bedrijf of organisatie gestolen omidentiteitsgegevens van klanten vanhet betreffende bedrijf te verkrijgen,waarmee vervolgens op grote schaalidentiteitsfraude kan worden gepleegd.Een gebrek aan beveiliging bij bedrijvenen organisaties maakt deze ernstigevorm van fraude mogelijk.
Aandachtspunten
Een aantal zaken kan bijdragen tot eenefficiënter beveiligingsbeleid.
Uitwisseling van identiteitsgegevens
Bij de inrichting van identiteitsma-nagement zal een zorgvuldige afwegingmoeten plaatsvinden aan welke partij-en persoonsgegevens worden ontleenddan wel voor controledoeleindenworden gebruikt. Een derde partijdient een vergelijkbare
business case
 te hebben voor de toepassing vanidentiteitsmanagement en waarbijrisicoprofiel en -acceptatie op eenzelf-de niveau liggen.
Identiteitsfederaties
Het is niet in alle gevallen nodig ompersoonsgegevens van derde partijenover te nemen of uit te wisselen. Pro-cessen en diensten van externe partij-en kunnen ook direct worden gekop-peld aan eigen processen. Hiervoor zijnredelijk volwassen standaarden entechnologieën beschikbaar. Partijendienen daartoe onderling standaardente kiezen voor de uitwisseling van per-soonsgegevens. Een derde partij kandaarbij zo nodig als dienstverlener op-treden die gegevens van verschillendepartijen integreert en vertaalt.Deze koppeling roept een aantal ingrij-pende organisatorische vragen op.Wie heeft de regie en wie is eindver-antwoordelijk voor het totaal? Hoeverhoudt zich de autonomie van af-zonderlijke partijen ten opzichte vande voor het totaal noodzakelijke regie?En ten slotte, hoe ga je om met gege-vens uit verschillende bronnen, die elk
snel toe. Cijfers van CIFAS (www.cifas.org) laten zien dat het aantal gevallenvan identiteitsfraude in het VerenigdKoninkrijk over een periode van zesjaar maar liefst verdrievoudigd is.Identiteitsfraude, identiteitsdiefstal envervolgfraude en -criminaliteit kunnendoor middel van kwalitatief goed iden-titeitsmanagement worden voorkomen.
Vormen van Identiteitsfraude
Er zijn verscheidene vormen van iden-titeitsfraude. De belangrijkste wordenhierna weergegeven:
Gegevensmanipulatie
Gegevensopslag van publieke en privatepartijen ten behoeve van identiteitsma-nagement kunnen gemanipuleerd wor-den. Bij een eerste registratie kunnenonjuiste gegevens worden verstrekt, la-tere wijzigingen op gegevens kunnenworden verzuimd of onjuist wordendoorgegeven. Door inbreuk op compu-tersystemen kunnen gegevens, ook opgrote schaal, worden gemanipuleerd.
Documentfraude
Van documentfraude is sprake als eendocument wordt vervalst of beschadigdmet als doel gebruik door een anderdan de rechtmatige houder. In mijnthesis over Nationaal Identiteitsma-nagement kom ik tot een raming vande totale maatschappelijke kosten van5,5 biljoen euro. Deze is gebaseerd ophet rapport Mensensmokkel in beeld2000/2001 van de Dienst NationaleRecherche.
Identiteitsdiefstal
Identiteitsdiefstal is een relatief nieuw fenomeen. Gewapend met valse per-soonsgegevens, sofi-nummers, geboor-tedata en creditcardnummers kunnenfraudeurs bankrekeningen openen of rekeningen voldoen. Identiteitsdiefstalis een ingrijpende vorm van identi-teitsfraude. Het is daarom belangrijkom te investeren in preventieve maat-regelen zoals
log correlation
en analyseom deze vorm van fraude in een vroegstadium op te sporen.
bedrijfsbeveiliging
Een aantal termen nadertoegelicht:
Identiteitsmanagement
Identiteitsma-nagement bestaat uit het samenstelvan processen en technieken voor hetvastleggen, beheren en gebruiken vanidentiteiten. Een identiteit is een be-schrijving van kenmerken die een sub- ject onmiskenbaar onderscheidt van an-dere subjecten. Aan zowel personen,goederen en informatie kan een identi-teit worden toegekend. In dit artikelwordt ingegaan op identiteitsmanage-ment met betrekking tot personen.
Persoonlijke identiteit
Een persoonlijkeidentiteit kan worden beschreven aande hand van toegekende, biografischeen fysieke kenmerken (waaronder ookgedragskenmerken). Voorbeelden vantoegekende en biografische kenmerkenzijn voornamen, (familie)naam en ge-boorteplaats. Vingerafdruk, iris en DNAzijn voorbeelden van fysieke kenmerken,evenals stem, toetsaanslag en leeftijd.
Biometrische identiteit
De identiteit zo-als beschreven aan de hand van toege-kende en biografische kenmerken kanonlosmakelijk worden verbonden meteen fysieke persoon door de toepassingvan biometrie. Documenten voorzienvan biometrie kunnen in principe nietmeer losgekoppeld worden van derechtmatige houder en zijn bestand te-gen
look alike
fraude.Per situatie zal echter moeten wordenvastgesteld of de prestaties van de bio-metrische technologie toereikend zijnen of de biometrie goed is in te passenin het identificatieproces.
Identiteitsfraude
Van identiteitsfraudeis sprake als met opzet een valse identi-teit wordt geclaimd, met het doel daarvoordeel mee te behalen ten koste vaneen derde, controlerende partij.
Identiteitsdiefstal
Van identiteitsdief-stal is sprake als met opzet de identiteitvan een ander wordt geclaimd, met alsdoel daarmee voordeel te behalen tenkoste van de controlerende partij en/of de ware houder van de betreffendeidentiteit. Identiteitsfraude gaat overhet algemeen gepaard met of wordt ge-volgd door een andere vorm van fraudeof criminaliteit. Op basis van een valseidentiteit is het mogelijk om verblijfs-rechten te verkrijgen, een krediet of eenuitkering.
management 
20698-2_SECM 0108.indd 21
20698-2_SECM 0108.indd 21
21-01-2008 14:50:45
21-01-2008 14:50:45
of 00

Leave a Comment

You must be to leave a comment.
Submit
Characters: ...
You must be to leave a comment.
Submit
Characters: ...