partnermenu

zoeken binnen de website

Goed geregeld

'Softwaresecurity begint bij design'

artikelen | 4 november 2015

“Het is vele malen goedkoper om al tijdens de ontwikkeling van je software aandacht te besteden aan de veiligheid ervan.” De Nederlandse overheid kan volgens Lucas von Stockhausen veel besparen door security al op te pakken tijdens de design-, test- en productiefase van de software. “Het later doen kan de kosten tot wel dertig keer vermenigvuldigen.”


Lucas von Stockhausen is Fortify Regional Product Manager EMEA van Hewlett-Packard. Fortify is het softwaresecurityportfolio van Hewlett-Packard. Het bedrijf levert producten en diensten die alle fasen in de levenscyclus van software bestrijken: van design tot en met het gebruik. “Een holistische aanpak”, noemen Von Stockhausen en Frans van Buul, Fortify Presales Architect, dit. Beide heren zijn ervan overtuigd dat gerichte aandacht voor beveiliging tijdens softwareontwikkeling een efficiënt wapen is in de strijd tegen de hacker.

Applicaties kwetsbaar

Von Stockhausen: “Het aantal applicaties is hard gegroeid. Vaak maken ze een connectie met gebruikers buiten de organisatie. Deze connectie is ook meteen de kwetsbaarheid van de applicaties. Ze zijn van buitenaf bereikbaar en dus ook gemakkelijker aan te vallen door derden.” Uit onderzoek van Gartner blijkt dat 84 procent van de inbreuken te vinden is in de applicatielaag van systemen. Daarnaast wijst HP-onderzoek uit dat meer dan 80 procent van de organisaties al eens slachtoffer was van een aanval op een softwareplatform of een applicatie.
Volgens Van Buul staat de veiligheid van de software vaak te laag op de agenda bij de uitvoering van IT-projecten binnen de overheid. “Er is vanzelfsprekend veel aandacht voor het op tijd en tegen de afgesproken prijs draaien van IT-projecten, omdat budget- en tijdoverschrijdingen zo in de schijnwerpers staan. Veiligheid wordt dan een bijzaak.” Hij meent dat de overheid op het gebied van softwaresecurity nog achterloopt op financiële instellingen in Nederland.

Wildgroei

Van Buul ziet dat ook terug in gehanteerde standaarden. De ISO 27000-standaarden vormen voor de overheid veelal de basis voor informatiebeveiliging. Die zijn volgens hem veel minder concreet over de veiligheid van software dan bijvoorbeeld de PCI DSS (Payment Card Industry Data Security Standard), die de financiële wereld oplegt aan bedrijven die creditcardbetalingen verwerken. De veiligheid van software hoeft volgens Von Stockhausen deels niet heel ingewikkeld te zijn. “Door er bewust mee om te gaan maak je al betere keuzes. Denk bijvoorbeeld aan de programmeertaal. Een oude taal die niet goed onderhouden wordt, is kwetsbaar. Maar ook voor de nieuwste talen moet je uitkijken omdat deze nog ‘gaten’ kunnen bevatten.”

Ook kunnen organisaties volgens Von Stockhausen hun weerbaarheid simpelweg vergroten door inzicht te creëren in welke applicaties er bij hen draaien. Von Stockhausen: “Tegenwoordig kan iedereen een webapplicatie in elkaar zetten, en dit leidt vaak tot wildgroei. Er worden applicaties gemaakt voor campagnes of evenementen, vaak buiten de centrale IT om. Vervolgens verdwijnen deze in de vergetelheid.” Via web perimeter scanning kan HP uitvinden welke applicaties er draaien. “Het wordt vaak al een stuk veiliger door de niet meer gebruikte applicaties gewoon uit te zetten.”

Geautomatiseerde hacker

HP biedt een reeks aan geavanceerde functionaliteiten voor het testen van de veiligheid van software. Software kan op het niveau van code bekeken worden: de zogenaamde statische analyse. Ook kan software worden getest door een geautomatiseerde hacker: dynamische analyse. Een innovatie die op dit moment zeer in de belangstelling staat is het beschermen van applicaties in productie. Van Buul: “Het HP Fortify-portfolio is uniek in deze markt omdat we dat allemaal kunnen doen.”

Expertise in softwaresecurity is schaars

HP Fortify wordt geleverd als zelf te gebruiken software, of as a service vanuit HP-datacentra. In het laatste geval besteden klanten het testen van de beveiliging van hun software helemaal uit. Van Buul: “Dat kan prettig zijn, want expertise in softwaresecurity is schaars.” Om te kunnen inspelen op de nieuwe ‘gaten’ die hackers vinden beschikt het bedrijf over een Security Research Group die continu analyseert wat er op de ‘zwarte markt’ gebeurt.

Securitybenchmark

Een integrale aanpak biedt volgens de heren de beste bescherming voor de software. Toch kunnen ook zij niet de garantie bieden dat de software 100 procent betrouwbaar is. Von Stockhausen: “Hackers vinden steeds nieuwe gaten in software.” Certificering van software op het gebied van veiligheid heeft volgens hen daarom haken en ogen. Toch zien ze beiden wel heil in een star rating op basis van een securitybenchmark. Van Buul: “Dat geeft in elk geval aan hoe veilig je software is in vergelijking met software van andere aanbieders.”

Dat het die richting wel eens zou kunnen uitgaan blijkt uit de aandacht die de EU geeft aan de privacy van data. Er wordt gewerkt aan meer regulering en duidelijkheid. In Duitsland is al bij wet vastgelegd dat de directie van organisaties persoonlijk verantwoordelijk is voor eventuele schade bij inbreuken in de privacy van data. Von Stockhausen: “De beveiliging van software zal hopelijk uiteindelijk ook de directietafel van overheden gaan bereiken.”

tags:

Reactieformulier

De met een * gemarkeerde velden zijn verplicht. U ziet eerst een voorbeeld en daarna kunt u uw bijdrage definitief plaatsen. Uw e-mailadres wordt niet op de site getoond. Reacties zonder achternaam worden verwijderd. Anoniem reageren alleen in uitzonderlijke gevallen in overleg met de redactie. U kunt bij de vormgeving van uw reactie gebruik maken van textile en er is beperkt gebruik van html mogelijk.