Cybersecurity en privacy
Hoe kan de veiligheid van online formulieren voor gemeenten worden gegarandeerd?
We zien het voortdurend om ons heen en lezen het in de krant: er zijn steeds meer criminelen die misbruik willen maken van de mogelijkheden die het internet biedt. Met steeds inventievere methoden proberen ze gegevens te verkrijgen, meestal om eraan te verdienen. Tegelijk proberen bedrijven dat misbruik tegen te gaan en te voorkomen. Gelukkig worden ook die bedrijven steeds slimmer in cybersecurity.
Tom Voermans, senior configuration consultant van Schulinck In-Form bij Wolters Kluwer, beschrijft in deze opinie:
- Hoe Wolters Kluwer omgaat met security en privacy
- Waarom het verstandig is al vóór het ontwikkelproces na te denken over security
- Hoe Wolters Kluwer zorgt dat producten, zoals Schulinck In-Form, gegarandeerd veilig zijn
Er kan elk moment iets gebeuren
Met security loop je als bedrijf altijd een stap achter. Je kunt immers niet vooraf weten óf cybercriminelen het op je hebben voorzien en zo ja, wanneer ze zullen toeslaan en op welke manier.
Bij Wolters Kluwer gaan we ervan uit dat er elk moment iets kan gebeuren en dus zitten we er proactief bovenop. In het niet zo verre verleden was het gebruikelijk dat pas in de testfase van een applicatie werd gekeken wat er beter kon en moest op het gebied van security. Tegenwoordig komt dat moment steeds eerder in het proces.
Checken op risico’s gedurende het hele ontwikkelproces
Met speciale tools zoals Static Application Security Testing (SAST), kijken we bij de broncode van een applicatie naar mogelijke risico’s. De code wordt met die tooling voortdurend op kwetsbaarheden gecontroleerd. Zo checken we gedurende de hele ontwikkelfase - en niet pas aan het einde daarvan - of het mogelijk is om misbruik van de applicatie te maken.
Voor Schulinck In-Form, de applicatie met veilige digitale formulieren voor gemeenten, werken we ook met threat modeling. Daarbij onderzoeken we nog voordat we gaan programmeren welke partijen er mogelijk misbruik zouden willen maken van de informatie. Als we dat weten, kunnen we bedenken op welke manier ze dat zouden kunnen doen. Met die mogelijke bedreigingen in het achterhoofd starten de ontwikkelaars van Schulinck In-Form vervolgens het ontwikkelproces.
Veiligheid en gegevensbescherming
Naast security by design is ook privacy by design - het in de ontwikkelfase aandacht besteden aan gegevensbescherming - een aspect om mee te nemen in de ontwikkeling van iedere applicatie. De ontwikkelaars van Schulinck In-Form denken over elke code na en vragen zich af welke gevolgen iedere stap van het proces zou kunnen hebben voor de security en privacy.
Versleutelen en hashen
Het versleutelen van alle gevoelige gegevens is al jaren een vanzelfsprekendheid bij Wolters Kluwer, waarbij we onderscheid maken tussen versleutelen en hashen:
- Een versleuteld bestand kan op een andere plek met de juiste sleutel worden gedecodeerd om de inhoud ervan te bekijken. Gegevens worden dus versleuteld wanneer ze op een later moment weer nodig zijn (bijvoorbeeld bij het doorsturen van een aanvraag naar de back-office).
- Hashing is eenrichtingsverkeer: als een bestand (of wachtwoord) eenmaal is gehasht, kan het niet meer worden terugvertaald. Het hashen van gegevens doen we daarom alleen wanneer we slechts een controle op de gegevens willen uitvoeren (bijvoorbeeld een wachtwoord dat hoort bij een account).
Checks door ethische hackers
Het uitsluiten van risico’s staat dus hoog op het prioriteitenlijstje van de ontwikkelaars van Schulinck In-Form. Op alle mogelijke risico’s worden zeer regelmatig checks uitgevoerd. Niet alleen door Wolters Kluwer zelf, ook door externe partijen die onze applicaties testen met ethische hackers – dat zijn hackers die wij uitdrukkelijk toestemming geven om te proberen in te breken in onze systemen.
Dat is altijd spannend, want we hebben er alles aan gedaan om de systemen veilig te maken, dus hopen we dat ze niet kunnen worden gehackt. Als het wél lijkt te lukken is dat jammer, maar dan zijn in ieder geval de risico’s blootgelegd voordat cybercriminelen in de systemen proberen te komen.
Assessments en audits
Systemen moeten gegarandeerd veilig zijn voor onze klanten en onszelf, vinden we bij Wolters Kluwer. Daarnaast hebben we vanuit onze rol als leverancier van applicaties natuurlijk ook te maken met verplichtingen die gemeenten wettelijk moeten doorlopen, zoals assessments en audits. De meeste gemeenten gebruiken DigiD voor hun aanvraagformulieren en moeten om de DigiD-aansluiting in de lucht te mogen houden daarop jaarlijks een audit laten uitvoeren.
Op technisch gebied zit de DigiD-aansluiting voor een groot deel bij Wolters Kluwer en ons deel moet dus aantoonbaar voldoen aan de richtlijnen, die steeds strenger worden. Daarom is de Schulinck In-Form applicatie, met slimme digitale aanvraagformulieren voor gemeenten, altijd tot in de puntjes bijgewerkt op het gebied van security. Nieuwe risico’s worden door de ontwikkelaars van Schulinck In-Form pijlsnel opgelost.
Gemeente kan burgers én medewerkers veiligheid garanderen
Bij Wolters Kluwer ontwikkelen we onze applicaties dus vanaf het allereerste moment met de gedachte dat de veiligheid ervan optimaal moet zijn. Om de risico’s te onderkennen gebruiken de ontwikkelaars van Schulinck In-Form allerlei tools en leren ze zoveel mogelijk uit de verplichte assessments. Daarbij zijn alle bedreigingen, groot en klein, voor ons belangrijk en ze worden even snel en adequaat opgelost.
Gebruikt een gemeente de producten van Wolters Kluwer, zoals Schulinck In-Form, dan kan die gemeente zowel de burger als de eigen gemeentelijke medewerkers de veiligheid garanderen die zij verwachten.
Bent u benieuwd wat we voor uw organisatie kunnen betekenen?
Kijk naar de oplossingen van Schulinck In-Form.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.