De mens als belangrijke factor binnen de cyber security is op zichzelf niets nieuws: met social engineering spelen hackers al decennia lang in op de menselijke onoplettendheid. Toch is er volgens Gartner een shift gaande als het gaat om de mens binnen de cyber security. 

Volgens Gartner is de verwachting dat richting 2027 zeker de helft van alle CISO’s (Chief Information Security Officers) de mens meer een hoofdrol gaat laten spelen binnen security architecturen en programma’s. Want ondanks de inspanningen om cyber security mensvriendelijker te maken, is er wereldwijd steeds meer de realisatie dat dat nog wel meer kan. 

Gartner redeneert dat recente statistieken de ogen van CISO’s opent en de menselijke focus wel moet gaan verscherpen.

90% van werknemers neemt bewust beveiligingsrisico’s

90% klinkt bijna absurd. Geen enkele organisatie heeft zoveel roekeloze en kwaadwillende medewerkers rondlopen, toch? Het ding is: dit opvallende percentage heeft daar niet veel mee te maken. Natuurlijk, er zitten altijd boze (ex)collega’s bij die bewust risico’s nemen uit wraak. Maar de volledige verklaring is een stuk onschuldiger (al is helaas het risico daardoor niet kleiner):

De verklaring ligt bij de operationele wrijving op de werkvloer als het gaat om cyber security. De mens is in deze wereld tenslotte snelheid en efficiëntie gewend. Sommige cyber security oplossingen bemoeilijken de workflow. Denk bijvoorbeeld aan 2FA of MFA. Wie denkt dat niemand zich frustreert bij het invoeren van een 2FA code heeft het mis. Want die frustratie gaat in sommige gevallen zover dat mensen die veilige extra stap volledig omzeilen, bijvoorbeeld door 2FA in de eerste plaats niet in te stellen.

Daarnaast zijn er nog een tal aan andere ogenschijnlijk onschuldige acties die risico’s veroorzaken op te noemen. Denk aan het installeren van third-party apps op werklaptops, buiten het beveiligingsprotocol om. Kwade bedoelingen zijn er dus vaak niet bij: de meeste medewerkers nemen risico’s juist omdat ze gewoon lekker willen werken. Maar ja, wel met alle gevolgen van dien.

Een nieuwe aanpak die acceptatie verbetert

De acceptatie van cyber security op de werkvloer verbeteren: er zijn natuurlijk al wat bedrijven mee bezig. Maar zeker in organisaties die nog niet zo lang cyber security hebben omarmd als een investering die belangrijke bedrijfsrisico’s dekt, is de cyber security inrichting nog lang niet mensgericht genoeg. 

Hoe mensgerichte cyber security eruitziet

Mensgerichte cyber security start met het omarmen van de menselijke psychologie. In plaats van verwachten en eisen dat medewerkers zich houden aan het beveiligingsbeleid, juist het beveiligingsbeleid aanpassen aan de mens. Rekening houden met menselijke neigingen en reacties.

Zoals dus de neiging om niet vertraagd te willen worden. 

De nadruk niet enkel op de technologische oplossingen, maar ook op het beïnvloeden van de acties van individuen binnen een organisatie om de algehele weerbaarheid te versterken. Ideaal gezien ziet dat er zo uit:

1.Continue evaluatie van menselijk gedrag:

Analyse van het gedrag van werknemers om patronen van onveilig handelen te identificeren en erop in te spelen. Installeren medewerkers buiten het protocol om steeds apps van derden? Kijk dan of die apps op een veilige manier binnen het protocol te faciliteren zijn. 

Flexibele benaderingen die rekening houden met verschillende gebruikersprofielen en werkstijlen dus!

2. Slimme technieken:

Ontwikkeling van beveiligingsmaatregelen die zich aanpassen aan de diversiteit van menselijk gedrag. En uiteraard inspelen op de workflow, dus oplossingen die zo min mogelijk vertragend werken.

3. User-centric security policies:

Formulering van beveiligingsbeleid dat niet alleen gericht is op het afdwingen van regels, maar ook begrijpelijk en acceptabel is voor medewerkers. Het beste is dat medewerkers (tot op zekere hoogte) inbreng krijgen bij het opstellen van beleid om een gevoel van betrokkenheid en verantwoordelijkheid te bevorderen.

4. Gebruikersfeedback en betrokkenheid stimuleren:

Inzamelen van feedback om continu het mensgerichte ontwerp van beveiligingsmaatregelen te verbeteren.Actieve betrokkenheid van medewerkers bij het identificeren van potentiële beveiligingsproblemenstimuleren. Een gevoel van eigenaarschap helpt bij gedragsverandering.

Holistische cyber security

Met deze voorspelling opent Gartner eigenlijk een holistischer cyber security tijdperk. Eentje waarin we hard gaan werken aan een beveiligingsbeleid dat geregeld herzien mag worden, puur zodat deze niet alleen vanuit technisch en theoretisch oogpunt klopt, maar ook in de praktijk écht aansluit op de mens! Een benadering van twee kanten.

Want ja, het hoge percentage is zeker naar beneden te dringen door de menselijke psychologie meer mee te nemen in het cyber security beleid. Maar: menselijke fouten blijven gebeuren. Hoe dan ook. Eén slechte nacht en een slaperige collega kan al in een phishingactie trappen. Het is daarom altijd belangrijk een vangnet te hebben. Een goed voorbeeld van zo’n vangnet is een Security Operations Center: een digitale alarmcentrale die verdachte activiteiten detecteert.

Wie weet bent u zelf al eens met social engineering in aanraking gekomen. Die kans is namelijk groot. Wat social engineering is? En hoe het er in de praktijk uit ziet? In dit artikel geven we voorbeelden. 

Wat is social engineering? 

Social engineering is een vorm van manipulatie ten behoeve van cyberaanvallen. Aanvallers zettenpsychologie in om iemand te misleiden iets te doen. Zo maken ze misbruik van menselijke eigenschappen als vertrouwen, empathie, nieuwsgierigheid of haast. 

Bij social engineering gaat het dus niet om de technische kwetsbaarheden, maar om menselijke kwetsbaarheden. Binnen de cyber security komt de uitspraak “De mens is de zwaktste schakel” geregeld voor. Daar speelt social engineering op in. En het doel? Dat is vaak het verkrijgen van gevoelige data of toegang tot systemen. 

Voorbeelden van social engineering

We gaan direct over naar de voorbeelden van social engineering. Dan gaat het zeker meer tot de verbeelding spreken.

1. Toegang tot webapplicatie met phishing

Phishingacties: een vorm van social engineering waar u vast ooit eens aan bloot bent gesteld. In dit voorbeeld leest u hoe aanvallers phishing gebruiken om toegang te krijgen tot een webapplicatie waarin klantgegevens opgeslagen staan: 

1. Doelwit kiezen: Een aanval start altijd met een doelwit. Bij veel phishingacties schieten aanvallers met hagel. Maar wanneer een hacker toegang wil krijgen tot een onderdeel van een organisatie, doet die eerst onderzoek naar – in dit geval – de applicatiebeheerder. 

2. Een e-mail opstellen: De volgende stap is het maken van een zo persoonlijk en realistisch mogelijkee-mail. Tegenwoordig gaat dat met veel zorgvuldigheid. Aanvallers zijn steeds beter in staat een e-mail op te stellen die er precies uitziet als die van bijvoorbeeld de provider van de webapplicatie. Zelfs aan de afzender is soms niet te zien dat het om een nep-mail gaat. 

3. Inspelen op menselijke eigenschappen: De inhoud van de mail kan zijn “Er is een beveiligingsprobleem! Onderneem nu actie”. Angst, druk en urgentie: aanvallers zetten het allemaal slim in om het doelwit snel tot actie over te laten gaan. Want hoe gehaaster het doelwit is: hoe groter de kans dat die zonder na te denken handelt. En dus in deze social engineering val trapt. 

4. De phishing-link: in het geval van dit voorbeeld, wil de aanvaller dat het doelwit toegang geeft tot de webapplicatie. Enkel inloggegevens zijn al genoeg. Daarom is de kans groot dat de phishing-link leidt naar een pagina die lijkt op de inlogpagina van de provider. Het doelwit doorloopt haastig de authenticatiestappen. En deze inloggegevens? Die komen direct bij de aanvaller terecht.

Bovenstaand voorbeeld is veelvoorkomend. Dagelijks zetten aanvallers deze vorm van social engineering in om aan inloggegevens te komen. Maar phishing is ook op andere manieren in te zetten. Bijvoorbeeld omcreditcardgegevens te stelen. Het is daarom belangrijk om dagelijks waakzaam te zijn: voelt een mail erg urgent aan? Ga dan altijd na of de mail wel echt is.

2. Een ander voorbeeld van social engineering: de “USB Drop Attack”

Deze vorm van social engineering laat misschien minder snel een belletje rinkelen. We geven meteen een uitleg: bij een USB Drop Attack laat een aanvaller besmette USB-sticks achter op strategische locaties. Dat kan de parkeerplaats van het doelwitkantoor zijn, maar aanvallers gaan soms ook zo ver dat ze fysiek de locatie betreden en de USBs binnen kantoren achterlaten. 

1. USB-sticks personaliseren: Aanvallers met oog voor detail personaliseren de USB-sticks die ze ingekocht hebben van tevoren. Bijvoorbeeld met het logo van het doelwitbedrijf. Of juist met labels die nieuwsgierigheid opwekken zoals “Gegevens XYZ”. Het hoeven overigens niet altijd USB-sticks te zijn. Er bestaan ook USB-kabels waarop malware te installeren is.

2. Het besmetten van de USB-sticks: De aanval start met het besmetten van de USB-stick. Vaak zorgt de aanvaller dat de USB direct malware zoals ransomware (of een keylogger) installeert. Of iets waardoor ze de computer kunnen overnemen. Hoe dat kan? Lees hier meer over de USB Rubber Ducky.

3. USB-sticks achterlaten: De aanvaller gaat na wat goede plaatsen zijn om de USB-sticks achter te laten. Het belangrijkste is dat werknemers de doelwitorganisatie ze makkelijk kunnen tegenkomen.

4. Slachtoffer gebruikt de USB: Of het slachtoffer de USB nu gebruikt omdat ‘ie er snel eentje nodig heeft, of omdat ze nieuwsgierig zijn naar “Gegevens XYZ”: als haast of nieuwsgierigheid het winnen van verstand, slaagt de social engineering actie. 

5. Besmetting: Nu de USB in de computer zit, kan de malware zich verspreiden. 

Steeds meer (grote) organisaties hebben een beleid rondom USB-sticks. Maar nog lang niet elk bedrijf heefthun personeel bewust gemaakt van de risico’s van het gebruik van onbekende USB-sticks. Belangrijk om voorzichtig te zijn met digitale opslag die in onbekende omgevingen worden aangetroffen.

3. Voorbeeld van CEO-fraude

Social engineering is ook in te zetten om direct geld van een organisatie te stelen. Vaak passen aanvallers dan CEO-fraude toe. Hierbij doet de aanvaller zich voor als iemand in een C-level functie. Hieronder het complete voorbeeld: 

1. Identificatie doelwit: De hacker start weer met het doelwit. In dit geval kijkt de hacker naar CEO en de financiële afdeling van het bedrijf. Via bijvoorbeeld LinkedIn neemt de aanvaller kennis van de namen en rollen van belangrijke medewerkers. Ook het verkrijgen van e-mailadressen is van belang. LinkedIn en de bedrijfswebsite zijn beiden een belangrijke bron.

2. E-mailadressen vervalsen: Nu de aanvaller weet hoe het originele emailadres van de CEO is opgebouwd, is het tijd om deze te vervalsen. Hackers maken dan een nieuw e-mailadres aan dat lijkt op het originele, maar dan met een subtiele wijziging. Denk aan een extra punt of een kleine lekker L ipv een hoofdletter I. 

3. E-mailen: De volgende stap is het versturen van e-mails vanaf het vervalste adres. De hacker doet zich voor als de CEO en verzoekt mensen binnen de financiële afdeling om geld over te maken naar een externe bankrekening (die van de hacker of van een katvanger). Vaak zijn deze mails ook urgent van aard. 

4. Het overboeken: Hoe overtuigender, ogenschijnlijk legitiemer en realistischer de e-mail, hoe groter de kans dat de financiële afdeling ingaat op het urgente verzoek en het geld overmaakt. 

Social engineering: de mens als zwakste schakel

Een infrastructuur kan technisch nog zo waterdicht zijn: als een collega in een social engineering actie trapt, is er alsnog sprake van een cyberaanval. Het geeft maar aan hoe belangrijk het is alert te zijn op de natuurlijke kwetsbaarheden van de mens. 

Letterlijk iedereen kan slachtoffer worden van social engineering. Een gebroken nacht en een blue monday kunnen al genoeg zijn om alle alertheid te verliezen. Kijk daarom of het mogelijk is sommige kwetsbaarheden technisch op te vangen. Zo helpt Check Point Harmony tegen verschillende vormen van social engineering via e-mail. 

Loyaliteitscampagnes van BrandLoyalty

Wie ooit bij een supermarkt heeft gespaard voor glazen, ovenschalen of besteksets heeft al eens kennis gemaakt met BrandLoyalty. “We ontwikkelen loyaliteitscampagnes voor de foodretail,” vertelt Ben de Laat, Head of IT Security bij BrandLoyalty “Dit doen we wereldwijd”.

BrandLoyalty werkt de campagnes uit van spaarkaarten tot pannenset: “Kenmerkend is dat we hoogwaardige producten in de markt zetten. We willen dat je er écht jaren plezier van hebt. Niet dat je een pan op het vuur zet en je er vervolgens al niks meer aan hebt.”

De organisatie is niet alleen werkzaam binnen Nederland, maar werkt op grote schaal: “Het is een global loyalty provider met kantoren in 16 landen, waarvan het hoofdkantoor in Den Bosch staat. Van daaruit worden alle generieke diensten aan de regionale kantoren geleverd, zo ook IT & IT Security.”

IT & IT Security bij BrandLoyalty

“Onze IT-afdeling heeft security jarenlang als algemeen onderdeel van de verantwoordelijkheden gehad. De vragen en eisen vanuit klanten en autoriteiten werden alleen steeds complexer en belangrijker.” vertelt De Laat “Vanuit die drijfveer hebben we toen besloten dat security permanent vertegenwoordigd moest binnen de organisatie.”

Een Shift Left aanpak volgde: eerst de security uitwerken, dan pas iets bouwen of inrichten.Binnen BrandLoyalty is het de uitdaging cyber security zo werkbaar mogelijk te maken. Dat het de organisatie dient, in plaats van hindert. Daardoor komen volgens de Laat vragen als “Met welke risico’s kunnen we leven en welke niet?” geregeld aan bod. Zijn loep ligt niet alleen op de techniek, maar – vooral – op de mens die erin werkt, de klanten én consumenten.

“Voor mij is samenwerking heel erg belangrijk. Mensen de gelegenheid geven om ownership te creëren voor de dingen die ze doen. Dus ook binnen het securitydomein.” Dat doet De Laat onder andere door “Medewerkers iets te leren over security en daar de tools en capability voor geven.”

“Onze visie past bij IP4Sure. Daarin hebben we common ground gevonden.”

De cyber security vraag aan IP4Sure

BrandLoyalty vond het verstandig meer te gaan rapporteren en de stand van security voortaan meetbaar te maken. “Ik had wel het een en ander aan tools van onze Amerikaanse moederorganisatie.” Toch wilde het team hierin liever zoveel mogelijk autonoom blijven. De vraag was dus: welke tool past bij BrandLoyalty’s behoefte de staat van hun cyber security te meten én te rapporteren?

Gestandaardiseerde oplossingen, begrijpelijk voor engineers en een uitstekend trackrecord waren belangrijke criteria voor de tool en leverancier selecties die we moeten doen. De Laat: “Als een engineer niet begrijpt wat hij moet doen met de output van welke tool dan ook dan heb je de verkeerde tool gekozen!”

Eén keer en dan niet meer

De Laat: “Daarbovenop willen we nooit dingen twee keer doen. Elke keer wanneer ik iets op probeer te zetten, vraag ik: wat proberen we nou écht te tackelen? En: hoe kunnen we dat in één keer beetpakken? Het liefst geautomatiseerd? Dit zodat we over een half jaar niet weer hetzelfde vraagstuk of probleem voor ons hebben liggen. Met een klein team moet je slim zijn, automation is dan dé manier om zaken maar één keer in je handen te pakken.”

Waarom IP4Sure?

“Ik vind IP4sure lekker kort op de bal spelend. Het is echt een no-nonsense club: ze werken fijn en pragmatisch. Stap voor stap échte resultaten boeken. Je wil tenslotte tools hebben die meaningful zijn. Waar ik een hekel aan heb zijn dingen die onnodig heel complex zijn, eindeloos duren om te integreren, en waar uiteindelijk alsnog niemand van snapt wat het doet.” Dat wollige is precies waar IP4Sure ver vandaan blijft: cyber security is tenslotte al ingewikkeld genoeg van zichzelf.

De gekozen tools

InsightVM en InsightIDR van Rapid7 bleken het beste aan te sluiten bij de securitybehoeften van BrandLoyalty. In het kort is InsightVM een Vulnerability Management tool die helpt effectief kwetsbaarheden te identificeren. InsightIDR is een XDR & SIEM-oplossing die IP4Sure inzet voor de SOC-service. De tool helpt te monitoren op verdachte activiteiten.

De samenwerking: InsightVM

“Voor beide producten zag de samenwerking er heel anders uit.” vertelt De Laat “We zijn als eerst begonnen met het inrichten van InsightVM”. IP4Sure heeft mandaat gekregen om alles te installeren en De Laat controleerde of alles naar wens was. IP4Sure hielp bij het leveren, configureren en inrichten. “Vervolgens was het onze teams om de kwetsbaarheden op te lossen.”

De Laat: “Buiten wat advies van IP4Sure bedruipt zich dat zelf eigenlijk wel goed. Daar hebben we weinig hulp bij nodig.” Het team van De Laat heeft enorm mooi werk neergezet als het gaat om het gebruik van InsightVM. Het verkrijgen van inzicht is één ding, maar de kwetsbaarheden die bovenwater komen efficiënt en effectief oplossen is een tweede.

De aanpak van BrandLoyalty: een schoolvoorbeeld

BrandLoyalty gebruikt InsightVM precies volgens het boekje. Ze halen écht het onderste uit de kan. “Er kwam eerst een stortvloed aan inzichten binnen. Iedereen was aan het zuchten en steunen door al het werk dat er ‘ineens’ lag.” vertelt De Laat. Al die kwetsbaarheden waren natuurlijk altijd al aanwezig, alleen nu de kop uit het zand getrokken was, leek er ineens veel werk te liggen (tastbaar?).

“Ik zei: jongens, we gaan beginnen bij de kwetsbaarheden met het hoogste risico.” vervolgt De Laat. Risico gebaseerd werken dus. “Maar wederom: ik wil hier maar één keer mee bezig zijn en dan niet meer. Dus wanneer blijkt dat het patchen van Windows niet periodiek gebeurt, dan moet dat voortaan geautomatiseerd”. Dat heeft voorkomen dat engineers een hoop terugkerend werk bleven houden.

Inzicht maakt secure

Aan het begin was het even slikken en omschakelen “Maar toen het team eenmaal de nieuwe mindset had, ging alles steeds sneller. Voor je het weet ben je door 80% van de kwetsbaarheden heen.”. Inmiddels heeft BrandLoyalty zelfs 95% weggewerkt.

Het is aan het begin even extra werk, maar als dat is weggewerkt gaat het enkel nog om kleine dingen om te verhelpen. De meest kritieke risico’s waren dankzij het risico gebaseerd werken als eerste opgelost. Die hadden tenslotte hoogste prioriteit. En de algehele security? Die is een heel stuk beter dan voordat er inzicht was!

De samenwerking: InsightIDR/SOC

Dan nog InsightIDR: “We hebben dit volledig uitbesteed aan IP4Sure.” vertelt De Laat. Hij is erg enthousiast over deze SIEM-oplossing. “Mijn ervaring is dat de informatie die eruit komt concreet is. We hebben de SOC-dienst van IP4Sure afgenomen zodat zij het laatste kaf van het koren scheiden”. Geen false positives voor BrandLoyalty dus.

De SOC-dienst helpt BrandLoyalty met het monitoren, het oppakken van de incidenten en het rapporteren ervan. Uiteraard moest ook hier het een en ander geautomatiseerd: “We willen graag maar 1 keer zaken aanpakken waar dat kan en snel tot de kern van het probleem komen, IDR helpt ons daarbij.”

“Wanneer er follow-up nodig is door BrandLoyalty, willen we dat het meteen in ons ticket systeem terecht komt. En dat als onze engineers erop reageren, dat het meteen terug komt bij IP4Sure. Zodat IP4Sure kan oordelen of het correct is afgehandeld. Per slot van rekening zijn zij de security specialisten, niet de engineers in ons team”. De Laat vervolgt: “Die feedbackloop – het vier ogen principe – is continu nodig om dat lerend vermogen in stand te houden.”

Precies weten wat er speelt

Er gebeurt ontzettend veel binnen een netwerk. Normaal blijven die incidenten en kwetsbaarheden onder de radar. Meer inzicht betekent daarom meteen véél meer incidenten De Laat wil die incidenten zelf niet uitpluizen: dat was zijn voornaamste reden te kiezen voor de IP4Sure SOC. Ontzorging is inmiddels een versleten woord, maar het is wel precies de meerwaarde van een SIEM met SOC.

IP4Sure houdt de boel in de gaten en grijpt in waar nodig en mogelijk. Met de wetenschap dat security experts meekijken, kan het IT-team van De Laat zich volledig focussen op waar ze goed in zijn. Ondertussen hopen ze niet dat ze veilig zijn: dankzij alle monitoring weten ze het.

Nooit uitgepraat over security

De Laat raakt niet uitgepraat over security: die passie is goed te zien in zijn werk. BrandLoyalty is wat IT en cyber security enorm vooruitstrevend. Van de Shift Left aanpak tot risico gebaseerd werken: De Laat’s vernieuwende werkwijze geeft hem optimaal controle over BrandLoyalty’s data en systemen. De Laat: “Onze visie past bij IP4Sure. Daarin hebben we common ground gevonden.”

De Helmondse specialist in personeelszaken en werkgeverschap Please, zorgt er al sinds 2000 voor dat ondernemers zich kunnen richten op waar ze goed in zijn: ondernemen. Please verzorgt niet alleen de personeels- en salarisadministratie van ongeveer 1.000 verschillende opdrachtgevers, maar eigenlijk alles wat met werkgeverschap te maken heeft.

HR-specialist Please vroeg om pentest voor hun webapplicatie

Waar het personeel van Please in de begindagen nog veel gegevens handmatig moest verwerken, is nu een heel groot deel van de werkzaamheden geautomatiseerd met slimme software en een uitgebreide webapplicatie. Hier kunnen werknemers en opdrachtgevers terecht voor uiteenlopende zaken, zoals hun urenadministratie, loonstrookjes, management-informatie, contractverleningen, vragen en nog veel meer.

Privacygevoelige gegevens

In dit systeem staan natuurlijk veel privacygevoelige gegevens en gebruikers moeten ervan verzekerd zijn dat deze gegevens optimaal beveiligd zijn. In het kader van ‘de slager moet zijn eigen vlees niet keuren’, schakelde Please cybersecurityspecialist IP4Sure in voor een uitgebreide webapplicatie pentest.

Webapplicatie: UurOnline

De webapplicatie UurOnline was in 2005 het eerste urenportaal in Nederland. Hoewel het ooit begon als een urenregistratiesysteem, dekt de naam de lading allang niet meer. Inmiddels is de door Please zelf ontwikkelde applicatie een volledig online personeelsdossier, waarin werknemers en werkgevers alle personeelszaken terug kunnen vinden. Van urenregistratie tot loonstroken en van contracten tot jaaropgaven. “Het is eigenlijk een volledig personeelsadministratiesysteem,” vertelt Hans van de Ven, Algemeen Directeur van Please.

“Onze filosofie is dat je terecht moet kunnen bij één loket en één contactpersoon voor al je werkgerelateerde zaken. Er zijn iets meer dan 800.000 kleine werkgevers in Nederland, die bij elkaar de grootste werkgever van Nederland zijn. Die hebben meestal niet de beschikking over een HR-afdeling of specialisten op het gebied van arbeidsovereenkomsten of salarisadministratie. Deze bedrijven willen we ontzorgen, door de gespecialiseerde partner te zijn die ze nodig hebben.”

Meer dan 15.000 actieve gebruikers

UurOnline wordt op dagelijkse basis geraadpleegd door meer dan 15.000 actieve gebruikers, die erop moeten kunnen vertrouwen dat hun gegevens veilig zijn en dat de applicatie voldoet aan de eisen die de Europese privacywet, de AVG, stelt. En niet alleen de gebruikersinterface moet waterdicht zijn, ook de externe systemen van opdrachtgevers, die via een API gegevens uitwisselen met UurOnline, moeten dat op een veilige manier kunnen doen. Hoewel Please over een professioneel team van developers beschikt, dat veiligheid hoog in het vaandel heeft, besloot het bedrijf om de ultieme beveiligingstest uit te besteden aan een partner.

“Wij gaan heel secuur om met de gegevens die klanten ons toevertrouwen. Niet alleen wijzelf willen zeker weten dat onze beveiliging strenge tests doorstaat, ook onze opdrachtgevers willen bewijs zien dat onze systemen zo veilig zijn als wij beweren.”

Klanten vragen om een recent pentestrapport

“Ze vragen bijvoorbeeld naar het laatste pentest rapport en dat mag vaak niet ouder zijn dan een jaar, of liever: zes maanden. Logisch, want de software wordt voortdurend bijgewerkt, waardoor er altijd nieuwe beveiligingsrisico’s kunnen ontstaan. En dan gaat het niet alleen om de software die we zelf ontwikkelen, maar ook over software van derden. Wij gebruiken bijvoorbeeld Microsoft Web Services en de updates die Microsoft uitrolt, kunnen ook beveiligingsrisico’s op ons platform introduceren. Dat wil je regelmatig laten testen.”

Uitslag pentest: zeer positief!

Van de pentest zelf heeft Please weinig gemerkt: “We hebben ons datacenter van tevoren ingelicht dat er getest zou worden, want je wil natuurlijk niet dat ze poorten blokkeren en het reguliere verkeer er last van heeft. De applicatie werd heel uitgebreid onderzocht door IP4Sure. Er is bijvoorbeeld gekeken of er zonder login ingebroken kon worden en of je met een bepaalde identiteit ook bij gegevens kon komen waarvoor je geen rechten hebt. We zijn gelukkig met vlag en wimpel geslaagd: van de kritieke doelen is er geen behaald. Goed nieuws dus voor onze developers. Er waren wel wat kleine issues die een minimaal risico vormden, want die vind je nou eenmaal altijd, maar in het rapport gaf IP4Sure heel duidelijk aan hoe we die snel konden verhelpen, inclusief links naar relevante artikelen over het onderwerp. Je leert er dus ook nog wat van!”

Waarom een pentest van IP4Sure?

Er waren al gesprekken gevoerd met verschillende grote security-specialisten, maar dat leidde niet tot de gewenste uitkomst. Van de Ven: “Al voor we een afspraak hadden gemaakt, kregen we vragen als: wat is jullie budget? Ik zei dan: ik heb geen specifiek budget, ik wil gewoon de zekerheid dat de applicatie op alle fronten getest wordt. Als je vanuit een beschikbaar budget denkt, geef je de klant niet het gevoel mee te denken over wat er echt nodig is. Ik voelde de klik niet. Toen kreeg ik een mailing van IP4Sure in mijn inbox, over een kennissessie die zij gaven. Ik ben naar de kennissessie gegaan en legde hen mijn vraag voor. In dat eerste gesprek kreeg ik direct het vertrouwen waar ik naar op zoek was. IP4Sure voelde als een specialist die niet in budgetten dacht, maar in security-vraagstukken. En dat gevoel bleek juist.”

IP4Sure: cyber security specialisten

Van de Ven: “Er is een mooie parallel te trekken met onze eigen dienstverlening. Door een partner als IP4Sure zijn wij in staat om ons te focussen op waar we goed in zijn. Net als bedrijven hun personeelsadministratie aan ons uitbesteden, besteden wij het testen van onze webapplicatie uit aan een specialist die we vertrouwen. En net als wij geen leverancier-afnemer-relatie met onze klanten willen, zoeken we zelf ook externe specialisten die echt een partner voor ons kunnen zijn.

Ik ben zelf van huis uit automatiseerder, dus goed in staat om te bepalen of een partner wel genoeg van de materie weet. Ik kan met zekerheid zeggen dat de mensen van IP4Sure echt specialisten zijn op hun gebied. Ze kijken bovendien goed met wie ze te maken hebben en welke aanpak daarbij past. Ze gingen bijvoorbeeld vooraf met onze developers in gesprek om te bepalen wat er wel en niet getest moest worden, zodat er meer tijd was om de relevante zaken te testen. Dat is heel wat anders dan simpelweg vragen wat ons budget is.”