Webhosting en veiligheidsrisico’s

Voor JNO schreven wij een gastblog over webhosting en veiligheidsrisico’s. Vrijwel iedereen is ervan doordrongen dat bedrijfsgegevens niet op straat thuis horen. Toch zien we in de praktijk veel onwetendheid en – als gevolg hiervan – veel problemen. Gehackte webapplicaties waardoor er spam wordt verstuurd, (klanten)dataverlies en medewerkers die vaak uren niet kunnen werken. Kortom, een hoop zichtbare en onzichtbare schade.

Op nummer één in de lijst van veroorzakers staat de gebruiker zelf. Logisch, het woord security is vaak geen issue in veel bedrijven, veiligheid komt zelden of nooit aan de orde. Jammer, want als mensen zich er bewust van zijn dat elke verandering of toevoeging aan het systeem – of aan pc, tablet of smartphone – gevolgen kan hebben voor de beveiliging van je webapplicatie, dan heb je al heel wat gewonnen. Bewustzijn, daar begint het mee.

Botsende belangen

Wie een stapje verder gaat en een professioneel bedrijf inhuurt om er zeker van te zijn dat de gegevens echt niet op straat komen te liggen, zal merken dat de wensen van bedrijven soms botsen met de veiligheid. Een gesprek met je hostingbedrijf, webontwikkelaar of systeemaanbieder kan veel verheldering, en vaak een mooie oplossing, brengen.

Beveiligde verbindingen

Aan de URL zie je of de verbinding beveiligd is. Https (dus met een S) is een beveiligde verbinding waarin alle gegevens versleuteld zijn. Persoonsgegevens, betalingsinfo en andere gevoelige informatie zijn dan beveiligd. Je kunt je hostingbedrijf om een certificaat vragen. Dat is niet alleen een geruststelling voor de klanten, een website met certificaat is ook extra goed vindbaar door zoekmachines.Daarnaast is het belangrijk dat je richtlijnen opstelt voor de inrichting van je systemen. Denk aan vulnerability management, toegangsbeleid, meten. Uiteraard moeten de systemen compliant blijven aan je gestelde policies.

Compliance audit

Het testen van de veiligheid kun je het best overlaten aan een externe, onafhankelijke partij. Zo’n compliance audit controleert of de webapplicatie en de server voldoen aan de allerlaatste security-richtlijnen. Dit kan bijvoorbeeld met een zogenaamde PEN (Penetration) test. Redelijk nieuw in Nederland is de PCI-DSS certificering. Dit is een securitystandaard die ontwikkeld is door de online-betalingenindustrie.

Kwetsbaar

Een recent voorbeeld. Meer dan 100 gemeentewebsites gebruikten een lekke implementatie van https-encryptie. Door gebruik te maken van een beveiligde verbinding dachten de gemeentes dat alles veilig was. Helaas bleek dit niet het geval te zijn met alle gevolgen van dien. Met een audit waren deze kwetsbaarheden zeker in eerder stadium opgemerkt en had men vroegtijdig actie kunnen ondernemen.Zie een compliance audit dan ook als een leerzaam proces. Je houdt hiermee jezelf, je hoster en je webontwikkelaar scherp.

Tot slot

Beheren, gebruiken of ontwikkelen van webapplicaties brengt verantwoordelijkheden met zich mee. Een ieder moet zich bewust zijn dat een ontwikkeling of aanpassing mogelijk veiligheidsrisico’s met zich meebrengt. Ga daarom met je partners, waaronder je hostingbedrijf, in discussie of de maatregelen die getroffen zijn wel voldoende veiligheid bieden om de data te beschermen. Bovendien: dagelijks laat een grote groep internetgebruikers vol vertrouwen, iedere dag weer, hun gegevens achter. Het is aan ons allen om dit vertrouwen niet te beschamen.