'Eigen netwerken zijn veel te duur voor EDI'

Alternatief protocol verstuurt digitale orders veilig via internet

Digitale orders en facturen waren altijd het terrein van EDI (electonic data interchange). De eisen voor beveiliging waren eerst te hoog voor het chaotische internet. Het kan nu echter toch anders, en goedkoper.

"Door het gebruik van aparte netwerken zijn traditionele vormen van EDI vaak veel te duur", meent Ben Rinkel van het Nederlandse softwarebedrijf ECS. "Het AS2-protocol is dan een goed alternatief. Het biedt dezelfde security en vertrouwelijkheid, maar dan via internet."
Bedrijven met logistieke ketens werken vrijwel uitsluitend met digitale orderformulieren. Dit soort toepassingen zijn gebaseerd op EDI-technieken (electronic data interchange) die echter nogal hoge kosten met zich meebrengen. Dat komt vooral doordat EDI tot nu toe alleen in combinatie met 'value added networks' (VAN) wordt toegepast. Dat moest tot voor kort ook wel, omdat het internet als onveilig werd beschouwd.
"Dat beeld bestaat inderdaad nog altijd, maar is toch wel flink achterhaald", vertelt Ben Rinkel, directeur van ECSin Wognum. Deze firma levert in ons land VersaLex, programmatuur die elektronische formulieren op een veilige manier over het internet verstuurt. "De kostenvoordelen van het internet zijn zo groot, dat vanuit de Internet Engineering Task Force (IETF) hard is gewerkt om tot afspraken te komen die het mogelijk maken om via het internet verstuurde berichten net zo veilig en vertrouwelijk te maken als met EDI en VAN's mogelijk is."

Terugmelding

AS2 - de letters staan voor 'applicability statement 2'; er bestaat ook een AS1 (zie kader) - is een specificatie die voorschrijft hoe data op een veilige en betrouwbare manier via het internet kan worden verstuurd. Die data kan gestructureerd zijn als EDI-bericht, maar ook andere typen berichten kunnen met AS2 worden beveiligd. De data wordt bij AS2 eerst versleuteld en van een certificaat voorzien en pas daarna verzonden.
Het protocol schrijft voor hoe een verbinding moet worden opgezet en hoe het bericht verzonden, afgeleverd en gevalideerd dient te worden. Ook bepaalt deze specificatie dat de correcte ontvangst van een bericht weer moet worden teruggemeld aan de verzender. Dat gebeurt via een zogenaamde 'message deposition notification' (MDN). Vooral dat laatste punt is een belangrijk verschil ten opzichte van bijvoorbeeld secure FTP.

Client én server

AS2 is bedoeld voor punt-naar-punt verbindingen tussen twee systemen. Veelal gaat het dan om een client en een server. Overigens kan een AS2-client ook een server zijn die applicaties draait voor andere clients. Op die manier kan dus een hele keten van beveiligde berichten worden gerealiseerd.
Rinkel: "Met name het feit dat geen kostbaar VAN meer nodig is, maakt het gebruik van AS2 interessant. Vaak zitten de kosten bij een VAN nog niet eens zozeer in de vaste kosten voor het afnemen van dit soort diensten. De werkelijke kosten zitten 'm veelal in het bedrag per verzonden bericht. Bedrijven die in hun logistieke keten veel met elektronische berichten werken, versturen vaak enorme aantallen berichten. Daardoor kan die kostenpost fors oplopen. Het internet gebruiken is dan uiteraard een aantrekkelijk alternatief."

Opletten

Toch zijn er enkele belangrijke aandachtspunten voor het gebruik van AS2. Juist omdat het om een punt-naar-punt verbinding gaat, is gebruik van statische ip-adressen verplicht. Dit kan tot problemen leiden voor kleine partijen in een logistieke keten die een gebrek aan eigen ict-mensen hebben. Hetzelfde geldt voor het gebruik van firewalls.
AS2 werkt uitsluitend in een tcp/ip-omgeving en kan geen data ophalen bij een andere partij. Dat heeft als voordeel dat er alleen berichten gestuurd kunnen worden op initiatief van de verzender. Daar staat als nadeel tegenover dat er in een logistieke keten dus altijd een betrokkenheid gewenst is van de klant. Met name bij 'vendor management inventory' moet dat goed geregeld worden.

Ontvangstbevestiging

Ook het werken met de ontvangstbevestigingen zal voor menig ict-afdeling even wennen zijn. De correcte ontvangst van een bericht moet via de genoemde MDN-notificatie worden bevestigd. Of deze notificatie wel door de oorspronkelijke verzender is ontvangen, wordt echter niet bevestigd. Dat AS2 uitgaat van 3DES als encryptiemethode (168 bits) en niet het steeds vaker toegepaste AES (256 bits), is volgens Rinkel geen probleem. "Het gebruik van AS2 voor het verzenden van elektronische berichten is wat security betreft even veilig als telebankieren."
Een kostenberekening voor AS2 is een afweging tussen enerzijds de uitgaven voor berichtenverzending via een value added network en anderzijds de benodigde investeringen voor AS2-communicatiesoftware. Volgens Rinkel verstookt een bedrijf dat traditionele EDI-vormen gebruikt al gauw veertigduizend euro per jaar aan berichten. "Dat bedrag komt bovendien ieder jaar terug", waarschuwt hij. Daarmee geeft hij gelijk ook een indicatie van de investeringsruimte die bedrijven hebben.

40.000

euro per jaar, verstookt een gemiddeld bedrijf aan EDI-berichten