ICT Zine

Digitale toepassingen worden steeds belangrijker voor de retailketens. Daarmee neemt de impact van cybercriminaliteit toe en worden ondernemingen vatbaarder voor digitale spionage of sabotage. Winkelketens zijn daarom op werkoplossingen aangewezen die maximale veiligheid voor data en processen bieden.

De detailhandel staat aan de vooravond van een nieuwe digitaliseringsgolf – en niet alleen door de snelle opmars van het online-winkelen. In fysieke winkelfilialen werken detaillisten steeds vaker met digitale technologieën, zoals touchscreens, Digital Signage, elektronische bewakingssystemen of oplossingen voor Unified Communications. Door deze ontwikkelingen nemen de eisen die door de ondernemers aan de netwerk-infrastructuur worden gesteld toe. De IT-afdelingen van winkelondernemingen moeten tegenwoordig vooral twee uitdagingen het hoofd bieden: aan de ene kant moet de performance en de continuïteit van de digitale toepassingen optimaal zijn, aan de andere kant moet het netwerk tegen bedreigingen van buitenaf beschermd worden.
De bedreigingen door cybercriminaliteit namen in de afgelopen jaren sterk toe en houden ook veel detailhandelsondernemingen bezig. Tot de grootste risico’s horen portscanning en sniffing: door het afluisteren of aftappen van gevoelige spraak-, data- en videoverbindingen binnen onvoldoende beveiligde netwerken is bedrijfsspionage mogelijk – zonder dat de eigenaar van het netwerk dit merkt.
Criminelen verschaffen zich daarnaast steeds vaker toegang tot vertrouwelijke bedrijfsinformatie door zogenaamde ‘man-in-the-middle’ aanvallen. Cybercriminelen zijn dan onder een valse identiteit op het bedrijfsnetwerk actief en hebben toegang tot interne data. Verder is het zo dat ondernemingen hun IT-infrastructuur ook tegen gerichte sabotage moeten beschermen. Denial-of-Service-aanvallen (DoS) kunnen netwerken tijdelijk verlammen en daarmee voor grote storingen in het bedrijfsproces zorgen.
Veilig netwerk tussen filialen
Een optimale en in alle opzichten goed op elkaar afgestemde netwerkbeveiliging voor retailketens start met het veilig opzetten van de verbindingen tussen de verschillende filialen. Gateways in het rekencentrum van de onderneming vormen het knooppunt van het netwerk en worden via afgeschermde VPN-tunnels met de routers van de afzonderlijke filialen verbonden. Als verbinding tussen de lokale netwerken aan de ene kant en het internet aan de andere kant, zijn het juist de routers die een grote rol spelen bij het afweren van cyberaanvallen.
Het zijn vooral de routers in de verschillende filialen, die vaak de zwakke schakel vormen in een netwerk dat de verschillende filialen met elkaar verbindt. Te vaak worden goedkope consumentenproducten ingezet, die echter niet over de beveiligingsfuncties beschikken die het gebruik binnen een ondernemingsnetwerk vereist. In een retailomgeving zijn bijvoorbeeld simultane VPN-kanalen van belang voor het contact met externe beveiligingsdiensten, maar ook voor aanbieders van Digital Signage die marketinguitingen op displays in een filiaal verzorgen. Een router die wordt ingezet in een professionele omgeving moet ook beschikken over een geïntegreerde firewall met intrusion detection en DoS Protection, naast de mogelijkheid tot het beheren van digitale security-certificaten.
Eenvoudig toegang via backdoors
Ook professionele routers kunnen echter een fundamenteel security-gat hebben. Dat geldt voor de modellen met een zogenaamde backdoor, die fabrikanten als interface gebruiken voor updates en services. Deze backdoor kan ook politie- en justitie of inlichtingendiensten toegang bieden tot de communicatie over het netwerk. De zogenaamde Patriot Act schrijft Amerikaanse fabrikanten van netwerk apparatuur zelfs voor in dergelijke backdoors te voorzien. Ook apparaten die naar Europa geëxporteerd worden kunnen een dergelijke interface hebben.
Het grote gevaar van de backdoors is, dat ze ook hackers een eenvoudig te openen toegang bieden tot de IT-netwerken van ondernemingen en de data die op het netwerk zijn opgeslagen. Alleen al om die reden verdient het aanbeveling zorgvuldig na te gaan waar een netwerkapparaat werd geproduceerd. Zo zullen Duitse fabrikanten moeten voldoen aan de in Duitsland geldende privacyrichtlijnen, die bijzonder streng zijn. Apparatuur die aan deze regelgeving voldoet beschermt tegen Cyber-aanvallen en houdt afluister- en sabotagepraktijken buiten de deur.
De detailhandel heeft echter niet alleen te maken met verbindingen tussen een centrale en verschillende filialen, ook binnen een winkel worden steeds hogere eisen gesteld aan de digitale beveiliging.
Veel winkels beschikken tegenwoordig over multi-service-netwerken, waarbij verschillende toepassingen of gebruikers streng van elkaar gescheiden zijn. Denk bijvoorbeeld aan shop-in-shop concepten. Een dergelijk netwerk is op te bouwen door op basis van een fysiek netwerk verschillende, onafhankelijk van elkaar bestaande subnetwerken (in de vorm van VLAN’s) in te richten. Tot die subnetten hebben dan steeds uitsluitend daartoe bevoegde gebruikers toegang. Door verschillende virtuele netwerken op te bouwen op een enkel vast netwerk wordt een forse kostenbesparing gerealiseerd en wordt de security vergroot.
Ook voor de meer gebruikelijke WLAN-omgevingen kan netwerkvirtualisatie een rol spelen. Ook hier moet het security-aspect niet onderschat worden. In veel filialen van winkelketens zijn tegenwoordig barcode-scanners, camera’s of mobile betaalsystemen in een draadloos netwerk opgenomen. Daarnaast bieden detaillisten hun klanten vaak Wifi aan, dat dan meteen voor instore-marketing-acties gebruikt kan worden. Bij het opzetten van een WLAN-infrastructuur die al deze activiteiten aan kan, moet op een veilige aansturing van al deze verschillende activiteiten gelet worden. Zo is het bijvoorbeeld aan te raden het publieke WLAN (Wifi) veilig op te bouwen en te scheiden van de communicatie door de mobiele kassasystemen. Voor die communicatie kan gebruik worden gemaakt van een PCI-compatible infrastructuur.
Maximale veiligheid, tegen lage beheerskosten, wordt bereikt als de verschillende filialen niet op zichzelf opereren, maar er voorzien wordt in een IT-infrastructuur die over de hele winkelketen heen werkt. De IT-organisatie moet in staat zijn netwerkcomponenten op afstand te besturen, te bewaken en te beheren. Dit bevordert niet alleen de security, maar zorgt er ook voor dat beheer en monitoring met weinig personeel kan worden verzorgd.
Digitalisering biedt de retailbranche een groot potentieel. Bij het opzetten van netwerk infrastructuren moeten IT-afdelingen echter het thema security op alle niveaus adresseren. Alleen op die manier zijn de filialen in staat nieuwe innovaties te omarmen, zoals location based service, indoor-navigatie en mobiel betalen.
Routers zonder backdoor
De Duitse netwerkleverancier LANCOM Systems stelt de hoogst mogelijke beveiliging van de apparatuur die ze levert centraal. Zo draait op de producten van de Duitse fabrikant een eigen, gesloten besturingssysteem en ontbreken backdoors. Het Duitse Federale Kantoor voor Informatiebeveiliging (BSI) certificeerde de fabrikant om die reden onlangs.

 
Ralf Koenzen, Founder en Managing Director van Lancom