artikel

Mol Logistics zoekt naar informatie in onveilige buitenwereld

Logistieke dienstverlening

Social Software zorgt voor nieuwe uitdagingen op het gebied van beveiliging. Toch accepteren steeds meer ondernemingen die toepassingen als zinvolle informatiebronnen binnen de gangbare bedrijfsprocessen. Met WatchGuard Application Control wil Mol Logistics behoedzaam de deur openen naar de onveilige, maar tevens informatierijke buitenwereld.

Mol Logistics zoekt naar informatie in onveilige buitenwereld
MOL Logistics

Social Software zorgt voor nieuwe uitdagingen op het gebied van beveiliging. Toch accepteren steeds meer ondernemingen die toepassingen als zinvolle informatiebronnen binnen de gangbare bedrijfsprocessen. Met WatchGuard Application Control wil Mol Logistics behoedzaam de deur openen naar de onveilige, maar tevens informatierijke buitenwereld.

Projectgegevens
Bedrijfsnaam: MOL Logistics   Leverancier/dienstverlener: MOL Logistics
Plaats: Tilburg, Rotterdam en Schiphol  
Branche: logistiek & transport   Bedrijfsgrootte:
Bedrijfstype: Logistiek   Datum ingebruikname:
Productnaam: WatchGuard Application Control  

Bob van Groeninge is supervisor ICT bij MOL Logistics. Hoewel onderdeel van de Japanse rederij Mitsui OSK Lines, opereert de onderneming geheel autonoom als intermediair tussen verladers en transporteurs. De werkzaamheden worden uitgevoerd door ruim 100 medewerkers vanuit vestigingen in Tilburg, Rotterdam en Schiphol.

   

De intermediairsrol vraagt om veelvuldig intermenselijk contact tussen de medewerkers van MOL Logistics met opdrachtgevers wereldwijd. Veel klanten zitten in het Verre Oosten, zodat ook het tijdverschil van invloed is op de communicatie. " Je kunt wel alles via e-mail vastleggen, maar de perceptie over en weer wordt toch bepaald door persoonlijke interactie", zegt Bob van Groeninge. "Telefonisch of nog beter visueel contact haalt de emotie uit een verhaal. Over en weer begrijpen we beter wat de bedoeling is. Via internet chatten en Skypen lijkt dus een goed oplossing, doch dan gaat het bedrijf zich terecht zorgen maken om de beveiliging. Het beste is om alles op slot te zetten. Dat is het eigenlijk ons beleid."

LinkedIn voor commerciële doeleinden
Ondanks dat beleid begrijpt Bob van Groeninge dat je de tijdgeest niet voor eeuwig buiten de deur kunt houden. De instroom van jongere medewerkers maakt dat de vraag naar internetfaciliteiten toeneemt, bijvoorbeeld voor het raadplegen van LinkedIn of Facebook ten behoeve van de commerciële doeleinden. " Recent zagen we ons geplaatst voor het probleem een videoclip van RTLZ te distribueren. Onze directeur had daaraan meegewerkt in verband met de ingebruikname van een nieuwe werklocatie op Schiphol. Vanuit het bedrijfsnetwerk kunnen we niet de website van Uitzendinggemist benaderen om er een streaming video vanaf te downloaden. Dus hebben we een ‘rip’ gemaakt op het Internet om de uitzending via een AVI-bestandje op ons eigen netwerk zichtbaar te maken en vervolgens als MP4 op CD te distribueren naar onze de klanten. Dat kan natuurlijk allemaal veel simpeler wanneer we media kunnen inschakelen die we nu nog niet op ons bedrijfsnetwerk toestaan."

Voor het gebruik van Skype of ander risicovolle webapplicaties voldoet wellicht een aparte, los van het bedrijfsnetwerk functionerende PC. Van Groeninge: "Daar hebben we ervaring mee met een accountmanager wiens werk hoge telefoonkosten met zich meebrengt. Die komt zijn laptop om de drie maanden inleveren omdat het apparaat niet meer functioneert. Cookies, tijdelijke internetbestanden, voordat je het weet, heb je hackers op het netwerk. Nu hebben we de deur op een kier gezet. Dat was een stuk eenvoudiger te realiseren toen de koppeling tot stand kwam tussen onze WatchGuard beveiligingsystemen en Active Directory van Windows. Die stelde ons in staat Security Groups aan te maken, waarbij we de Firebox inrichten met profielen die aangeven wie wel en wie niet het Internet op mag en wie mag downloaden, aangevuld met tijdvensters.

    

Zo bieden we tussen half negen ’s ochtend en twaalf uur beperkte toegang voor uitsluitend zakelijke toepassingen. Tussen twaalf en één uur is de toegang ruimer maar nog wel met de restricties van een Webblocker daar waar het gaat om bijvoorbeeld discriminatie of andere thema’s die je niet geacht wordt tijdens je werk te bekijken. In de middag staat de verbinding tot vijf uur helemaal dicht om daarna weer beperkt open te gaan. En ik denk dat we in die trend moeten doorgaan met een onderscheid in groepen voor wie het internet altijd beschikbaar is en voor wie slechts op beperkte schaal. Je komt dan in de onvermijdelijke discussie of sociaal media toegevoegde waarde biedt. Onze commerciële medewerkers denken daar omzet uit te kunnen halen. Maar ik betwijfel of onze customer service medewerkers er iets mee kunnen."

Toegang tot Afra inzage in offertes
Toch hebben ook die voor hun werk te maken met webapplicaties van bezorgdiensten als Fedex en TNT. Die zijn beveiligd via een loginnaam en password. Hetzelfde geldt voor Afra het webgebaseerd luchtvracht informatiesysteem. De commerciële mensen in de buitendienst kunnen die ook raadplegen, maar dan wel via het bedrijfsnetwerk (VPN-tunnels en IPSec). De verbinding lijkt veilig, doch wanneer iemand daarvoor eerst zaken op zijn laptop heeft gedownload via een directe internetconnectie, bestaat theoretisch de kans van toegang van onbevoegden tot het bedrijfssysteem. "Wie op Afra kan kijken, heeft in principe ook inzage in onze offertes", zegt van Groeninge. "Windows updates worden nooit op PC niveau rechtstreeks toegelaten , maar een Java update van een laptop met een rechtstreekse internetverbinding is wel mogelijk. Naarmate de webapplicaties onderdeel gaan vormen van de core business zullen we steeds meer moeten toestaan en zien we ons geplaatst voor beveiligingsvraagstukken die we pakweg vijf jaar geleden niet hadden."

De ICT-supervisor van Mol Logistics laat zich dan ook graag bijpraten door beveiligingsexperts. Van hen verneemt hij dat het probleem zit in de huidige generatie webapplicaties. Die zijn heel geraffineerd ontwikkeld met als uitgangspunt altijd te kunnen functioneren ook al staat er een Firewall. Ze gebruiken domeinnamen die ‘nodig’ zijn en liften mee op veelgebruikte poorten. Een traditionele Firewall met URL-filter volstaat niet meer om dit soort slimme applicaties tegen te houden, want het dichtzetten van een domein-naam en wat Firewall poorten is dus niet meer voldoende om een groeiend aantal applicaties te blokkeren.

Wel Facebook geen Farmville
Als oplossing voor het dilemma overweegt Mol Logistics de aanschaf van de nieuwe versie van WatchGuard Application Control, een combinatie van hardware en software (appliance) waarmee de beveiliging zich veel verfijnder laat inrichten. Application Control herkent ruim 1800 applicaties en dit aantal groeit wekelijks. Daarnaast kijkt de appliance ook naar het gedrag van de gebruiker. Wanneer iemand wel social media mag gebruiken om daar nuttige informatie uit te halen, herkent de appliance onmiddellijk wanneer de persoon in kwestie tussendoor ook games activeert. Bijvoorbeeld Facebook mag wel, maar het daaraan gekoppelde Farmville en andere spellen of toepassingen niet. Zo zijn er momenteel al negen verschillende applicaties aan Facebook gelieerd.

Van Groeninge is zeer gecharmeerd van de functionaliteit van de nieuwe beveiliging appliance. Vooralsnog moet hij handhaving van het veilige gebruik van internetbronnen afdwingen via de gangbare gedragscode. "Mensen hebben een contract met hun werkgever op basis waarvan ze voor de gewerkte uren een beloning ontvangen. Die overeenkomst bepaalt tevens hoe ze met de beschikbare bedrijfsmiddelen moeten omgaan. We gaan er vanuit dat eigenlijk niemand bewust de verkeerde dingen doet. Hackers maken misbruik van dat vertrouwen. Als je de boel helemaal op slot zet heb je nooit discussies over het feit dat men beter niet de akkoord-button had moeten indrukken. Het is natuurlijk ook een kwestie van cultuurverschil. Bij onze moedermaatschappij in Japan kunnen ze gemakkelijk tegen mensen zeggen dat ze nooit tijdens werktijd het internet op mogen. Daar houdt iedereen zich aan. Hier ligt dat toch anders. Voor de jongere generatie is het heel normaal om tijdens werktijd hun privé mail te bekijken te msn.en of hun bankzaken te regelen."

Reageer op dit artikel