Nadenken over iedere code
Een bedrijf kan niet vooraf weten óf het doelwit wordt van cybercriminelen en zo ja, wanneer en op welke manier, dus loopt het met security altijd een stap achter. Bij Wolters Kluwer zitten we er bovenop. Dat doen we niet reactief, maar zoveel mogelijk proactief.
Nog niet zo lang geleden werd pas in de testfase van een applicatie gekeken wat er beter kon en moest, tegenwoordig wordt dat moment steeds meer naar voren gebracht. We hebben speciale tooling, Static Application Security Testing (SAST), waarmee we naar de broncode van een applicatie kijken, om er mogelijke risico’s uit te halen. Die tooling controleert de code voortdurend op kwetsbaarheden. Zo kunnen we gedurende de hele ontwikkelfase controleren of er misbruik van de applicatie zou kunnen worden gemaakt en niet pas aan het einde daarvan.
Voor Schulinck In-Form, een product van Wolters Kluwer, werken we ook met Threat modeling. Voordat we ook maar beginnen met programmeren, onderzoeken we welke partijen er mogelijk misbruik zouden willen maken van de informatie en op welke manier ze dat zouden kunnen doen. De ontwikkelaars van Schulinck In-Form starten het ontwikkelproces dus op basis van de mogelijke bedreigingen.
Over elke code wordt nagedacht: wat zou dit voor gevolgen kunnen hebben voor de security en privacy?
Versleutelen en hashen
‘Security by design’ en ook ‘Privacy by design’ – het in de ontwikkelfase aandacht besteden aan gegevensbescherming – zijn tegenwoordig dus aspecten die we meenemen in de ontwikkeling van iedere applicatie. Over elke code wordt nagedacht: wat zou dit voor gevolgen kunnen hebben voor de security en privacy?
De ontwikkelaars van Schulinck In-Form versleutelen vanzelfsprekend alle gevoelige gegevens. Wij maken onderscheid tussen versleutelen en hashen:
- Een versleuteld bestand kan op een andere plek met de juiste sleutel worden gedecodeerd om de inhoud ervan te bekijken.
- Hashing is eenrichtingsverkeer, wat betekent dat als een bestand (of wachtwoord) eenmaal is gehasht, het niet kan worden terugvertaald.
Gegevens worden versleuteld wanneer je ze op een later moment nodig hebt (bijvoorbeeld bij het doorsturen van een aanvraag naar de back-office). Gegevens wordt gehasht wanneer je slechts een controle op de gegevens wilt uitvoeren (bijvoorbeeld een wachtwoord dat hoort bij een account).
Risico’s blootleggen
De ontwikkelaars van Schulinck In-Form proberen op alle manieren risico’s uit te sluiten en daarin maken we heel grote slagen. Met de regelmaat van de klok hebben we checks op alle mogelijke risico’s. Dat doen we zelf, maar we hebben ook externe partijen die onze applicaties testen met ethische hackers, die wij uitdrukkelijk toestemming geven om te proberen onze systemen te hacken. Natuurlijk hopen we dat het ze niet lukt, maar als het wél lijkt te lukken is het ook niet zo erg, want dan hebben ze in ieder geval de risico’s blootgelegd voordat kwaadwillende hackers het proberen.
Richtlijnen en audits
Wolters Kluwer wil alleen maar systemen die veilig zijn voor onze klanten en onszelf en we hebben natuurlijk ook te maken met verplichtingen richting assessments en audits die gemeenten wettelijk moeten doorlopen. Als gemeenten bijvoorbeeld gebruik maken van DigiD, dan moeten zij er om die aansluiting in de lucht te mogen houden jaarlijks een audit op laten uitvoeren. Die aansluiting zit op technisch gebied voor een groot deel bij Wolters Kluwer.
Voor het product Schulinck In-Form moeten we dus aantonen dat ons deel voldoet aan de richtlijnen. Die richtlijnen zijn streng en worden met het jaar strenger. Het resultaat is wel dat de Schulinck In-Form applicatie op het gebied van security altijd up to date is. Wanneer er nieuwe risico’s worden gevonden, weten de ontwikkelaars van Schulinck In-Form die pijlsnel te dichten.
Veiligheid gegarandeerd
Wolters Kluwer gebruikt dus alle mogelijke tooling om security risico’s in de vroegste fase al te onderkennen en we ontwikkelen onze applicaties met in het achterhoofd dat ze superveilig moeten zijn. De ontwikkelaars van Schulinck In-Form proberen te leren uit de verplichte assessments, niet alleen wat betreft de belangrijke risico’s, maar zeker ook de kleinere bedreigingen, en alles snel en adequaat op te lossen.
Met de producten van Wolters Kluwer, zoals Schulinck In-Form, kan de gemeente veiligheid garanderen aan de burger en gemeentelijke medewerker, die dat – terecht – verwachten.