Nu steeds meer onderzoekbureaus webapplicaties gebruiken om hun data te vergaren, is ook de databeveiliging in toenemende mate een belangrijk aandachtspunt. Bij Forum verwerken we met de Performitor (all-in-one solution voor klantfeedback en opvolging) duizenden reacties per maand. Al deze reacties worden real time verwerkt en onze klanten kunnen deze direct online inzien en hierop acteren. Deze klanten vertrouwen erop dat de gegevens van hun klanten, relaties of medewerkers veilig in onze webapplicatie staan en blijven. Maar hoe vertrouw je een partij hierin? Je kunt de veiligheid niet van de buitenkant zien, moet je dan vertrouwen op de blauwe ogen van de leverancier?
Awareness
Gelukkig is er bij onze klanten steeds meer het besef aanwezig dat veiligheid rondom online opslag van informatie een belangrijk aspect is. Er wordt dan ook meer verwacht van ons om aan te tonen dat we voldoen aan de hoger wordende standaarden van onze klanten. Dit uit zich in een security-requirement document met daarin de directe eisen waaraan een leverancier van webapplicaties moet voldoen. Deze hebben betrekking op organisatie (procedures zoals ISO27001), soft- en hardwarematige oplossingen (zoals een intrusion detection systeem) en continuïteit (blijvend monitoren en leren).
Hackertest
Bij Forum voldoen we tot op heden aan de eisen. Bovenop deze eisen hebben we, in overleg met een van onze klanten, nog een extra beveiligingslaag toegevoegd. De White Hat Hackertest, oftewel een expert daadwerkelijk een poging laten doen om het systeem te kraken en als men binnen is te kijken waar er mogelijk misbruik van gemaakt kan worden. Sowieso het controleren op de OWASP10 (lijst met de meest voorkomende en serieuze kwetsbaarheden in webapplicaties) is een onderdeel van een hackertest. Een hacker (in dit geval legale hacker) wil graag in het systeem proberen te komen en gevoelige plekken openleggen, er is motivatie en er is creativiteit. Aan de andere kant zijn wij er juist op gebrand om het de hacker zo moeilijk mogelijk te maken.
Onderstaand filmpje toont aan hoe hackers werken, ze proberen bekende zwakheden als eerste uit om ergens binnen te komen. Dit is dus ook een belangrijke reden om ervoor te zorgen dat je op zijn minst gewapend bent tegen de top 10 zoals vermeld in de OWASP lijst.
Dit hele proces waarin we intensief hebben samengewerkt met de hacker-experts om te kijken waar mogelijk zwakheden in de webapplicatie liggen geeft meer dan alleen maar een bevestiging op papier dat je webapplicatie veilig is. Het geeft daadwerkelijk aan of de beveiliging werkt.
Veilig zijn en blijven
Het heeft in ons geval geleid tot een paar extra maatregelen om ervoor te zorgen dat de data veilig blijft. Om het ook in de toekomst veilig te houden hebben we besloten om de hackertest op regelmatige basis uit te voeren. Er blijven nieuwe technieken en nieuwe exploits komen waarop je simpelweg moet blijven controleren. De controle op je beveiliging is en moet een dynamisch onderdeel zijn van het onderhouden van je webapplicatie.
En nu?
Vertrouw niet langer op de blauwe ogen van je leverancier maar vraag naar de procedures rondom beveiliging van de webapplicatie en om een bewijs (certificaat of rapport) waaruit blijkt dat een onafhankelijke partij de webapplicatie heeft getoetst op veiligheid en als veilig zijnde heeft aangemerkt.
Kijk op https://www.owasp.org voor meer informatie over de huidige top 10 van kwetsbaarheden in webapplicaties.
Bij vragen over de beveiliging van webapplicaties bij Forum kunt u terecht bij Franklin Bolder.
