Veiligheid in 2017: SecDevOps

Agile werken betekent dat security een gedeelde verantwoordelijkheid wordt binnen IT-bedrijven. Dat is een grote verbetering maar security eindigt natuurlijk niet bij het opleveren van de software. Ook aan de kant van de klant zijn er stappen die gezet kunnen worden om het risico op hacks en datalekken te verkleinen.

Vroeger werd security vaak als apart onderdeel van softwareontwikkeling en hosting gezien, met een eigen team of afdeling. Aan het einde van het ontwikkelingstraject werd het project aan security voorgelegd, die hun test en scans vlak voor de livegang moesten doen. Het gevolg: weinig tijd om problemen op te lossen, vertraging in de oplevering en irritatie bij security vanwege de tijdsdruk.

Dat is snel aan het veranderen. De DevOps werkwijze betekent dat de disciplines versmelten en daardoor wordt er veel eerder in het traject naar security gekeken. Iedereen die betrokken is bij een project moet feitelijk beschikken over securityvaardigheden, van de architect die het systeem ontwerpt tot de developers die het bouwen. Maar ook creatieven die bijvoorbeeld een login flow of registratieproces ontwerpen houden direct rekening met veiligheidsaspecten. En dit geldt niet alleen voor softwareontwikkeling maar ook voor hosting. De ontwikkelaars en systeembeheerders dragen gezamenlijk de verantwoordelijkheid voor de veiligheid in plaats van dat de één bedenkt en de ander alleen maar uitvoert. SecDevOps dus.

Resilient, risk-based, aware

Deze nieuwe manier van naar security kijken is des te belangrijker, omdat bedrijven aan steeds strengere regels moeten voldoen. Er bestond al een meldplicht datalekken en vanaf mei dit jaar is de General Data Protection Regulation van kracht, die draait om het beschermen van consumentendata. Tegelijkertijd lijkt het aantal hacks en andere compromitterende incidenten alleen maar toe te nemen. Dit komt doordat bedrijven de neiging hebben om vooral preventief te werken; ze installeren een virusscanner, firewall en een paar technische aanpassingen en men voelt zich gedekt. Op zich zijn dit natuurlijk belangrijke maatregelen maar daarmee ben je nog niet klaar. Je online security moet ‘resilient’ en ‘risk-based’ zijn en je medewerkers ‘aware’.

Risk-based draait om het inschatten van de gevaren die je loopt. Je hebt een goed incident response plan nodig, zodat je er snel bij bent als er iets misgaat. Het is dus zaak om in kaart te brengen wat de grootste risico’s zijn. Wat zou er kunnen gebeuren, met welke systemen en hoe kun je dit voorkomen of het beste reageren als er iets gebeurt? Waar moet je op letten, wie zijn er bij betrokken en hoe ga je de klant informeren? Het is een soort simulatie die houvast biedt als er echt iets gebeurt.

In het incident response plan neem je ook minder voor de hand liggende hackdoelwitten mee, zoals Internet of Things. Hoe meer apparaten je met het internet verbindt, des te meer risico loop je. Het IoT-sleutelsysteem van een Oostenrijks hotel werd bijvoorbeeld begin dit jaar gehackt, waardoor gasten hun kamer niet in konden. De hackers eisten 1.500 euro in bitcoins, anders zouden ze het systeem niet vrijgeven. Het hotel zag geen andere oplossing dan te betalen. Recent was nog in het nieuws dat speelgoed dat gesprekken met kinderen opneemt en online opslaat, was gehackt. Bijna 2,2 miljoen opnames konden door hackers worden afgeluisterd.

Resilient betekent dat je weerbaar moet zijn. Dat doe je door te monitoren wat er gebeurt op je systemen en of dat ongebruikelijk is. Gemiddeld duurt het tien maanden voordat bedrijven erachter komen dat ze zijn gehackt. En bij een hack is het juist heel belangrijk dat je de log files veiligstelt, zodat je weet wat er is gebeurd, welke gegevens er zijn gestolen en misschien zelfs kunt herleiden wie het heeft gedaan.

Aware slaat op het bewust maken van medewerkers van de risico’s die zij online lopen. Mensen delen steeds meer informatie op social media, van foto’s tot wanneer ze op vakantie zijn. Dat werkt social engineering en dus identiteitsdiefstal in de hand. Je ziet ook vaak enquêtes en tests waarin persoonlijke informatie moet worden gegeven. Het is niet ondenkbaar dat er van die informatie misbruik wordt gemaakt. Er worden bijvoorbeeld vragen gesteld die ook terugkomen als je je wachtwoord moet resetten, zoals de naam van je eerste huisdier of je favoriete vak op school. Gezien het feit dat veel medewerkers hun smartphone en laptop zowel voor werk als privé gebruiken, is het belangrijk dat werkgevers hen bewust maken van de gevaren.

Gedeelde verantwoordelijkheid

Online security is de verantwoordelijkheid van IT-bedrijf en klant. Bij IT-bedrijven zorgt de agile manier van werken ervoor dat veiligheid geen sluitpost meer is, maar in het DNA wordt opgenomen. Aan de kant van de klant zijn er ook verbeteringen mogelijk. Door goed na te denken over wat je van tevoren kunt doen om de schade te beperken als er een lek of inbraak plaats vindt, beperk je de risico’s en vergroot je je weerbaarheid. En dat is in een tijd waarin alle internettoepassingen het doelwit kunnen zijn van hackers geen overbodige luxe.