10-10-2018

4 securityprincipes voor internetapplicaties

Bij Agile werken wordt security een gedeelde verantwoordelijkheid binnen IT-bedrijven. Dat is een grote verbetering, maar security eindigt natuurlijk niet bij het opleveren van de software. Zowel tijdens de softwareontwikkeling als bij het gebruik van de internetapplicatie, kunnen er stappen worden gezet die het risico op hacks en datalekken beperken. Bevorder online security door het hanteren van de vier principes: SecDevOps, risk-based security, resilience en awareness.

Visual SecDevOps

Vroeger werd security vaak als apart onderdeel van softwareontwikkeling en hosting gezien, met een eigen team of afdeling. Aan het einde van het ontwikkelingstraject werd het project aan security voorgelegd, die hun test en scans vlak voor de livegang moesten doen. Het gevolg: weinig tijd om problemen op te lossen, vertraging in de oplevering en irritatie bij security vanwege de tijdsdruk.

SecDevOps

Dat is snel aan het veranderen. De DevOps-werkwijze betekent dat de disciplines versmelten. Daardoor wordt er veel eerder in het traject naar security gekeken. Iedereen die betrokken is bij een project moet feitelijk beschikken over securityvaardigheden, van de architect die het systeem ontwerpt tot de developers die het bouwen. Maar ook creatieven die bijvoorbeeld een login flow of registratieproces ontwerpen, houden direct rekening met veiligheidsaspecten. En dit geldt zowel voor softwareontwikkeling als voor de hosting. De ontwikkelaars en systeembeheerders dragen gezamenlijk de verantwoordelijkheid voor de veiligheid in plaats van dat de één bedenkt en de ander alleen maar uitvoert. SecDevOps dus.

"Door van tevoren na te denken over incident response worden risico's beperkt en weerbaarheid vergroot. Zeker geen overbodige luxe in een tijd waarin alle internettoepassingen doelwit kunnen zijn van hackers."

Risk-based security, resilience en awareness

Deze nieuwe kijk op security is des te belangrijker, omdat bedrijven aan steeds strengere regels moeten voldoen. Er bestond al een meldplicht datalekken en vanaf mei dit jaar is de General Data Protection Regulation van kracht, die draait om het beschermen van consumentendata. Tegelijkertijd lijkt het aantal hacks en andere compromitterende incidenten alleen maar toe te nemen. Voor een deel is dat te verklaren doordat bedrijven vooral preventieve maatregelen nemen; installeren van een virusscanner, firewall en een paar technische aanpassingen en men voelt zich gedekt. Op zich zijn dit natuurlijk belangrijke maatregelen, maar daarmee ben je nog niet klaar. Online security moet ‘risk-based’ en ‘resilient’ zijn en je medewerkers ‘aware’.

Incident response plan

Risk-based security draait om het inschatten van de gevaren. Je hebt een goed incident response plan nodig, zodat je er snel bij bent als er iets misgaat. Het is dus zaak om in kaart te brengen wat de grootste risico’s zijn. Wat zou er kunnen gebeuren, met welke systemen en hoe kun je dit voorkomen of het beste reageren als er iets gebeurt? Waar let je op, wie zijn erbij betrokken en hoe informeer ik de klant? Het is een soort simulatie die houvast biedt als er echt iets gebeurt.

In het incident response plan neem je ook minder voor de hand liggende hackdoelwitten mee, zoals Internet of Things. Hoe meer apparaten met het internet zijn verbonden, des te meer risico. Het IoT-sleutelsysteem van een Oostenrijks hotel werd bijvoorbeeld in 2017 gehackt, waardoor gasten hun kamer niet in konden. De hackers eisten 1.500 euro in bitcoins, anders zouden ze het systeem niet vrijgeven. Het hotel zag geen andere oplossing dan te betalen. Er kwam ook in het nieuws dat speelgoed dat gesprekken met kinderen opneemt en online opslaat, was gehackt. Bijna 2,2 miljoen opnames konden door hackers worden afgeluisterd.

Optimale weerbaarheid

Resilience betekent dat je weerbaar moet zijn. Dat doe je door te monitoren wat er gebeurt op je systemen en of dat ongebruikelijk is. Gemiddeld duurt het tien maanden voordat bedrijven erachter komen dat ze zijn gehackt. En bij een hack is het juist heel belangrijk dat de logfiles worden veiliggesteld, zodat je weet wat er is gebeurd, welke gegevens er zijn gestolen en misschien zelfs kunt herleiden wie het heeft gedaan.

Bewustzijn bij medewerkers

Aware slaat op het bewust maken van medewerkers van de risico’s die zij online lopen. Mensen delen steeds meer informatie op sociale media, van foto’s tot wanneer ze op vakantie zijn. Dat werkt social engineering en dus identiteitsdiefstal in de hand. Je ziet ook vaak enquêtes en tests waarin persoonlijke informatie moet worden gegeven. Het is niet ondenkbaar dat er misbruik van die informatie wordt gemaakt. Er worden bijvoorbeeld vragen gesteld die ook terugkomen als je je wachtwoord moet resetten, zoals de naam van je eerste huisdier of je favoriete vak op school. Gezien het feit dat veel medewerkers hun smartphone en laptop zowel voor werk als privé gebruiken, is het belangrijk dat werkgevers hen bewust maken van de gevaren.

Gedeelde verantwoordelijkheid

Online security is een gezamenlijke verantwoordelijkheid van het IT-developmentteam en de klant die de internetapplicatie in gebruik heeft. Bij IT-bedrijven zorgt de Agile werken ervoor dat veiligheid geen sluitpost meer is, maar in het hart van de softwareontwikkeling wordt opgenomen. Aan de kant van de klant zijn er ook verbeteringen mogelijk. Door goed na te denken over wat je van tevoren kunt doen om de schade te beperken als er een lek of inbraak plaatsvindt, worden risico’s beperkt en de weerbaarhied vergroot. En dat is zeker geen overbodige luxe in een tijd waarin alle internettoepassingen het doelwit kunnen zijn van hackers.