Security: 4 principes voor betere beveiliging van webapplicaties

Bij Agile werken wordt security een gedeelde verantwoordelijkheid binnen development teams. Dat is een grote verbetering, maar security eindigt natuurlijk niet bij het opleveren van de software. Zowel tijdens de software development als bij het gebruik van de applicatie, kunnen er stappen worden gezet die het risico op hacks en datalekken beperken. Security Officer Valentijn Scholten legt uit hoe je online security bevordert aan de hand van vier principes: SecDevOps, risk-based security, resilience en awareness.

Visual SecDevOps

Vroeger werd security vaak als apart onderdeel van softwaredevelopment en hosting gezien, met een eigen team of afdeling. Aan het einde van het ontwikkelingstraject werd het project aan team Security voorgelegd, die hun test en scans vlak voor de livegang moesten doen. Het gevolg: weinig tijd om problemen op te lossen, vertraging in de oplevering en irritatie bij security vanwege de tijdsdruk.

#1 SecDevOps

Dat is veranderd, met name door de invoering van DevOps. De DevOps-werkwijze betekent dat de disciplines versmelten. Daardoor wordt er ook veel eerder in het software development traject naar security gekeken. Iedereen die bij een project betrokken is moet feitelijk beschikken over securityvaardigheden. Van de architect die het systeem ontwerpt tot de developers die het bouwen. Maar ook creatieven die bijvoorbeeld een login flow of registratieproces ontwerpen, houden direct rekening met veiligheidsaspecten. En dit geldt zowel voor software development als voor de hosting. De ontwikkelaars en systeembeheerders dragen gezamenlijk de verantwoordelijkheid voor de veiligheid in plaats van dat de één bedenkt en de ander alleen maar uitvoert. SecDevOps dus.

"Het draait om het inschatten van gevaren. Van te voren daarover nadenken beperkt risico's en vergroot weerbaarheid. Geen overbodige luxe in een tijd waarin je zomaar doelwit kunt worden van hackers."

#2 & 3 Risk-based security, resilience en awareness

Deze nieuwe kijk op security is des te belangrijker, omdat bedrijven aan steeds strengere regels moeten voldoen. Er bestond al een meldplicht datalekken en in mei 2018 is daar de Algemene Verordening Gegevensbescherming (AVG) aan toegevoegd, die draait om het beschermen van consumentendata. Tegelijkertijd lijkt het aantal hacks en andere compromitterende incidenten alleen maar toe te nemen. Voor een deel is dat te verklaren doordat bedrijven vooral preventieve maatregelen nemen; installeren van een virusscanner, firewall en een paar technische aanpassingen en men voelt zich gedekt. Op zich zijn dit natuurlijk belangrijke maatregelen, maar daarmee ben je nog niet klaar. Online security moet ‘risk-based’ en ‘resilient’ zijn en je medewerkers ‘aware’.

Incident response plan

‘Risk-based security’ draait om het inschatten van de gevaren. Je hebt een goed incident response plan nodig, zodat je er snel bij bent als er iets misgaat. Het is dus zaak om in kaart te brengen wat de grootste risico’s zijn. Wat zou er kunnen gebeuren, met welke systemen en hoe kun je dit voorkomen of het beste reageren als er iets gebeurt? Waar let je op, wie zijn erbij betrokken en hoe informeer ik de klant? Het is een soort simulatie die houvast biedt als er echt iets gebeurt.

In het incident response plan neem je ook minder voor de hand liggende hackdoelwitten mee, zoals Internet of Things. Hoe meer apparaten met het internet zijn verbonden, des te meer risico. Het IoT-sleutelsysteem van een Oostenrijks hotel werd bijvoorbeeld in 2017 gehackt, waardoor gasten hun kamer niet in konden. De hackers eisten een flink bedrag in bitcoins, anders zouden ze het systeem niet vrijgeven. Het hotel zag geen andere oplossing dan te betalen. En zo werd op een vergelijkbare manier bij een ‘Denial of Service aanval’ in Finland een verwarmingssysteem van een appartementencomplex compleet platgelegd.

#4 Optimale weerbaarheid

‘Resilience’ betekent dat je weerbaar moet zijn. Dat doe je door te monitoren wat er gebeurt op je systemen en of dat ongebruikelijk is. Gemiddeld duurt het tien maanden voordat bedrijven erachter komen dat ze zijn gehackt. En bij een hack is het juist heel belangrijk dat de logfiles worden veiliggesteld, zodat je weet wat er is gebeurd, welke gegevens er zijn gestolen en misschien zelfs kunt herleiden wie het heeft gedaan.

Bewustzijn bij medewerkers

‘Awareness’ gaat over het bewust maken van medewerkers van de risico’s die zij online lopen. Mensen delen steeds meer informatie op sociale media, van foto’s tot wanneer ze op vakantie zijn. Dat werkt social engineering en dus identiteitsdiefstal in de hand. Je ziet ook vaak enquêtes en tests waarin persoonlijke informatie moet worden gegeven. Het is niet ondenkbaar dat er misbruik van die informatie wordt gemaakt. Er worden bijvoorbeeld vragen gesteld die ook terugkomen als je je wachtwoord moet resetten, zoals de naam van je eerste huisdier of je favoriete vak op school. Gezien het feit dat veel medewerkers hun smartphone en laptop zowel voor werk als privé gebruiken, is het belangrijk dat werkgevers hen bewust maken van de gevaren.

Gedeelde verantwoordelijkheid

Online security is een gezamenlijke verantwoordelijkheid van het IT-development team en de business die de internetapplicatie in gebruik heeft. Bij IT-bedrijven zorgt Agile werken ervoor dat veiligheid geen sluitpost meer is, maar in het hart van de software development wordt opgenomen. Aan de kant van de business zijn er ook verbeteringen mogelijk. Door goed na te denken over wat je van tevoren kunt doen om de schade te beperken als er een lek of inbraak plaatsvindt, worden risico’s beperkt en de weerbaarhied vergroot. En dat is zeker geen overbodige luxe in een tijd waarin alle internettoepassingen het doelwit kunnen zijn van hackers.

rudy.png
Security advies?

Ben jij benieuwd hoe de beveiliging van jouw applicaties ervoor staat? Of vrijblijvend advies over jouw securityvraagstuk? Consultant Rudy helpt je graag!

Neem contact op