Cyber security is voor softwareontwikkelaars één van de belangrijkste speerpunten. Zeker wanneer gevoelige informatie wordt verwerkt. Dat geldt ook voor PinkWeb. We doen er alles aan om onze oplossingen zo veilig mogelijk te maken. Onze developers hebben hierin een grote verantwoordelijkheid. In dit interview vertelt technisch directeur Gerbald van Ommeren wat development doet aan informatiebeveiliging én meer over het Visma Security Program.
Kun je om te beginnen vertellen waarom cyber security zo’n groot aandachtspunt is? ‘Het doel bij development is om onze applicatie zo veilig mogelijk te maken voor de data van onze klanten. Dat is vaak hele gevoelige informatie. We willen dat klanten zich geen zorgen meer hoeven te maken over hun gegevens of die van klanten. Dat zien we als onze verantwoordelijkheid en onze plicht.’
Hoe geven jullie hier in de dagelijkse praktijk invulling aan? ‘We zijn natuurlijk al lange tijd ISO27001 gecertificeerd. Onderdeel daarvan is een jaarlijkse penetration test, waarbij een extern ingehuurde hacker probeert om in te breken in je applicatie. Die kijkt naar elementen in de software die kunnen worden misbruikt zodra er is ingelogd. Cybercriminelen focussen op manieren vinden om in te loggen, daarom is phishing ook zo risicovol. Uit zo’n penetration test komen altijd nuttige tips voor verbetering. ISO27001 is vooral gefocust op procesmatige beveiliging. Geen gevoelige gegevens via e-mail versturen, let op onbeveiligde bijlagen enzovoorts. Goed voor security awareness en verstandig omgaan met informatiebeveiliging, maar het gaat minder over de programmatuur die je schrijft. Daarom zijn we zo blij om onderdeel te zijn van het Visma Security Program.’
Wat is het Visma Security Program? ‘Het is een uitgebreid programma dat bestaat uit meerdere onderdelen. Heel belangrijk is dat onze broncode bij iedere wijziging die we doen wordt gescand op beveiligings-issues. Dit gebeurt met een geautomatiseerde tool van Visma. Waar de PEN-test van buiten naar de applicatie kijkt, scant deze tool de applicatie van binnen. Hij ziet als het ware het skelet, hoe je iets hebt geprogrammeerd. Zo kun je bijvoorbeeld zijn vergeten om een invoerveld goed te filteren. Het risico dat dan ontstaat, is dat een kwaadwillende een stukje code kan schrijven in zo’n invoerveld. Zie je als accountant een geaccordeerd bestand met dat stukje erin dan kan de browser die code gaan uitvoeren. Denk aan een URL bezoeken of gegevens wijzigen. Dat moeten we voorkomen. Maar het programma omvat nog veel meer.’
We zijn benieuwd… ‘Het Security Program biedt ons een gespecialiseerd, goed getraind team, dat jaarlijks een penetration test uitvoert, maar we hebben ook toegang tot een tool die tweewekelijks zo’n zelfde soort test doet op een iets minder grondige manier. Daarmee houd je vinger aan de pols. Verder gebruikt Visma Cyber Threat Intelligence. Hiermee houden ze in de gaten of onze systemen op een lijst staan om te worden gehackt, of bedrijfsnamen worden genoemd in plannen voor hacks en of data online wordt aangeboden. Cybercriminaliteit is tegenwoordig een businessmodel en gegevens van accountants en hun klanten zijn geld waard. Dat zijn dus bij uitstek gegevens waar criminelen naar zoeken. Nog een belangrijk onderdeel is de Security Self Assessment, een lange checklist die is opgesteld door security experts bij Visma. Hier wordt onder meer in gevraagd hoe we data bewaren, of we voldoen aan de AVG regels, of we niet onnodige gegevens verwerken. Het is een hele uitgebreide checklist en die wordt verplicht gereviewd door Visma. Je moet alles wat hieruit komt oplossen, zo niet dan krijg je strafpunten in de Security Index.’
De Security Index? ‘Ja, dat is nog een belangrijk onderdeel van het programma. De Security Index meet hoe goed je als organisatie je cyberveiligheid op orde hebt. Je krijgt strafpunten als iets niet voldoende is. Deze Security Index is een wezenlijk onderdeel is van hoe goed je bedrijf presteert en inzichtelijk voor iedereen binnen Visma, ook het management. Zo krijgt cyber security echt de aandacht. Developers willen heel graag een applicatie veilig maken, maar je ziet dat ze er niet altijd de tijd voor krijgen. Dat komt omdat er ook heel veel klantwensen zijn en dat er nieuwe features moeten worden gemaakt. De meeste klanten vragen niet om betere cybersecurity, dat moet gewoon goed zijn. Maar ‘gewoon goed’ is veel werk. Een aantal developers is meer dan de helft van de tijd kwijt aan het controleren en verbeteren van onze cyberveiligheid. De Security Index helpt om de balans te houden en te zorgen dat security niet wegvalt tegen andere wensen.’
Wat zijn nog meer voordelen van het Visma Security Program? ‘We deden al heel veel op gebied van cyber security binnen ISO27001, dit programma is een soort upgrade. Het is doorlopend en meer gericht op de programmatuur en infrastructuur. Dat stelt ons in staat om nieuwe oplossingen of features direct veilig te ontwikkelen. De tools die we nu gebruiken zijn specialistisch en kosten geld. Als kleine organisatie heb je niet altijd de mogelijkheid om die zelf aan te schaffen en te implementeren, maar met Visma achter ons kan het wel. Dat geldt trouwens niet alleen voor tools, maar ook voor mensen. Er zitten experts bij Visma, die ons helpen om onze oplossingen te beveiligen en er ook zijn als er wel iets misgaat.’
Waarom is dat belangrijk? ‘Kijk, het liefst wil je alles 100% beveiligen, maar dat is een illusie. Hackers zijn slim. Hoe hard je ook je best doet, je kunt niet alles voorkomen. Direct alarm slaan en actie ondernemen is dan het belangrijkst. De security experts bij Visma zijn ons vangnet, we kunnen hen direct inschakelen wanneer er iets misgaat. Dat is ook fijn voor onze developers. Ze weten dat ze er niet alleen voor staan in zo’n situatie. Sowieso is het Visma Security Program fijn voor onze developers. De tools bieden houvast zodat ze veilig programmeren en er wordt echt tijd gemaakt voor het beter maken van software. En ook leuk: developers kunnen via Visma een training Secure Code Warrior volgen. Dat zijn oefeningen met code waarin expres een beveiligingsfout zit. Super nuttig, want het is één ding om het in theorie te weten, maar je moet het ook kunnen zien.’
Klinkt goed. Dan nog één brandende vraag: hoe doen wij het binnen het programma? ‘We werken sinds begin vorig jaar met het Visma Security Program en het gaat erg goed. Eind vorig jaar behaalden we al de Gold Status. Dat houdt in dat de beveiliging van onze applicatie op het juiste niveau is voor de gevoeligheid van de gegevens die we verwerken. Tegelijkertijd zegt het niet zoveel, want het is een continu proces. Je kunt niet achterover hangen zodra je het ‘goed doet’. Ik ben vooral heel blij met de aandacht voor cyber security. Dit vertaalt zich direct naar voordelen voor de klant, want sinds we strenger zijn op hoe de code in elkaar zit, zijn er minder bugs en security issues. Eén van onze grootste klanten zei laatst dat ons portaal de meest stabiele software is die ze gebruiken. Dat zo’n grote gebruiker dat zegt, is een enorm compliment voor iets waar we ons zo voor inzetten.’ |