10 april, 2017

Informatiebeveiliging is via onder meer een ISO 27001 certificering verankerd in onze processen. Maar Synetic doet meer om adequaat om te springen met privacygevoelige gegevens.

Regelmatig staan de media vol met berichten over hackpogingen of maatregelen die daartegen worden genomen. Denk bijvoorbeeld aan de Nederlandse verkiezingen, waarbij de overheid na onder meer een kritisch artikel van beveiligingsexpert Sijmen Ruwhof besloot om geen stemcomputers te gebruiken maar terug te grijpen naar pen en papier.

Datalekken-GDPR-Drupal

Uit een onlangs gepubliceerd rapport van het Nederlandse beveiligingsbedrijf Gemalto blijkt dat in 2016 wereldwijd 1.792 datalekken plaatsvonden en daardoor bijna 1,4 miljoen records werden gestolen. Ten opzichte van 2015 steeg het aantal hacks met maar liefst 86%. In de meeste gevallen (59%) ging het om identiteitsdiefstal, gevolgd door het hacken van accounts en het veroorzaken van overlast.

In Nederland zijn er het afgelopen jaar acht datalekken publiekelijk bekendgemaakt, goed voor 55.900 records die gestolen of aangetast zijn. Organisaties (zowel bedrijven als overheden) zijn sinds 1 januari 2016 verplicht om datalekken te melden bij Autoriteit Persoonsgegevens. Deze organisatie ontving het afgelopen jaar circa 5.500 meldingen van datalekken.

Uit het recent gepubliceerde IBM X-Force rapport blijkt dat het aantal datalekken in 2017 alleen maar verder zal toenemen. Sinds begin dit jaar zijn er al meer dan vier miljard stukken data gestolen, wat meer is dan 2015 en 2016 bij elkaar opgeteld.

Privacy en security waarborgen

De Cyber Security Raad (CSR), een adviesorgaan van het Nederlandse kabinet, waarschuwde onlangs dat veel bedrijven nog niet voldoen aan de cybersecurity-wetgeving. Bedrijven zijn volgens de CSR onvoldoende op de hoogte van de wettelijke plicht om de gevolgen van digitale onveiligheden te beperken en verdere incidenten te voorkomen. Het CSR adviseert daarom cybersecurity al in het ontwikkelproces van producten en diensten mee te nemen.

Synetic is uiteraard op de hoogte van de nieuwe wetgeving rondom meldplicht datalekken en onze processen zijn volledig ingericht om datalekken te voorkomen. In het kort ziet ons proces er als volgt uit:

  • Vulnerability scan
  • Peer review
  • Testing
  • Acceptatietest
  • Livegang

Vulnerability scan

Om op een gestandaardiseerde wijze te controleren of websites die wij bouwen of aanpassen voldoen aan de gestelde veiligheidseisen voeren wij een vulnerability scan uit.

Alle URL’s van een website worden via een geautomatiseerde scan geanalyseerd op zeer uiteenlopende kwetsbaarheden zoals die zijn vastgelegd in de OWASP (Open Web Application Security Project) Top 10. Dit is een verzameling van de meest voorkomende veiligheidslekken binnen websites. Hieruit volgt een uitgebreide rapportage die inzicht geeft hoe de website scoort en welke maatregelen er mogelijk genomen kunnen worden om geconstateerde kwetsbaarheden op te lossen.

Drupal security richtlijnen

Bij de ontwikkeling van een nieuw project houdt iedere Drupal ontwikkelaar van Synetic uiteraard rekening met de Drupal coding standaarden en beveiligingsrichtlijnen, waarbij op een juiste manier gebruik wordt gemaakt van de Drupal API. Drupal heeft daarbij allerlei ingebouwde controlemechanismes om ervoor te zorgen dat wat je ontwikkelt veilig is.

Daarnaast passen wij altijd ‘peer review’ toe. Als bijvoorbeeld een website voor het testen van bepaalde onderdelen van een productie-omgeving naar een acceptatie-omgeving wordt geplaatst, wordt de database geanonimiseerd zodat er geen privacygevoelige gegevens op een acceptatie- of testomgeving staan.

Handmatig en geautomatiseerd testen

Na de ontwikkeling gaan onze testers aan de hand van een zeer degelijk quality assurance proces aan de slag. Testen is namelijk geen taak maar een vak! Onze gecertificeerde testers zetten hierbij onder meer het Selenium framework in om geautomatiseerde testen uit te voeren, wat ervoor zorgt dat er snel en efficiënter getest kan worden.

Vervolgens wordt het project als acceptatietest naar de klant toegestuurd. Pas wanneer alle voorgaande stappen succesvol zijn voltooid en de klant de laatste stap heeft geaccordeerd, wordt een project pas live gezet.

Veilige hosting

De ruggengraat van iedere website is naast het platform waarop deze is gebouwd de hostingomgeving. Om hiervoor de veiligheid te garanderen werken wij samen met Triple. Zij zijn eveneens ISO 27001 gecertificeerd en verzorgen de hosting voor onder meer Heineken, ANWB en Vodafone Nederland. Triple heeft ons bijvoorbeeld geholpen om het Bel-me-niet Register succesvol te migreren, waar veiligheid natuurlijk ongelooflijk belangrijk is.

Mocht er zich toch een datalek voordoen, dan weet iedereen binnen Synetic hoe er gehandeld moet worden om dit zo snel mogelijk op te lossen.

Wees voorbereid op GDPR

Uiteraard kijken wij bij Synetic ook vooruit naar wat de toekomst ons gaat brengen. Dit jaar zal bijvoorbeeld de GDPR bij steeds meer organisaties hoog op de agenda komen te staan.

GDPR staat voor General Data Protection Regulation en is een nieuwe Europese wetgeving rondom dataprivacy. Vanaf 25 mei 2018 moeten alle Nederlandse organisaties voldoen aan de GDPR. De website stelt zelfs dat het de belangrijkste wijziging in data privacy regulatie ooit is.

GDPR Datalekken Drupal

Synetic volgt de wetgeving op de voet en treft intern al de nodige voorbereidingen, zodat oplossingen die wij bedenken ook in de toekomst op een dusdanige manier worden opgeleverd dat deze voldoen aan de nieuwe wetgeving. Zo heb je voor betrokkenen het recht:

  • op beperking van persoonsgegevens
  • om vergeten te worden
  • op dataportabiliteit
  • op informatie

Veranderingen die gaan plaatsvinden zijn onder meer ‘privacy by design’ en ‘privacy by default’. Als verwerker van gegevens krijgen wij steeds meer verplichtingen om rekening mee te houden. Als wij bijvoorbeeld aanpassingen verrichten verwerken wij data en zijn wij dus verantwoordelijk voor het nakomen van onze plichten.

Maar daarnaast nemen wij ook een proactieve houding aan en adviseren onze klanten wat zij moeten doen om te voldoen aan de huidige wetgeving. Voorkomen is namelijk beter dan genezen, aangezien de boetes kunnen oplopen tot €20 miljoen of 4% van de totale omzet.

Tot slot kijken wij met onze teams hoe onderdelen van Drupal zodanig ontwikkeld en generiek ingezet kunnen worden dat deze voldoen aan de actuele wetgeving. Op deze manier dragen wij bij aan een nog veiligere Drupal installatie.

Drupal Scan

Wil je ook een onafhankelijke audit voor je eigen Drupal website laten uitvoeren? Maak dan gebruik van onze Drupal Scan. Hierin wordt elke willekeurige Drupal omgeving onderzocht op een aantal kritische factoren en onder meer uitvoerig ingegaan op de kwaliteit en veiligheid. Vraag de Drupal Scan vandaag nog aan.