De roep om een nieuwe aanpak
Het afgelopen jaar is pijnlijk duidelijk geworden dat er iets goed mis is met de beveiliging van webapplicaties. In het begin van het jaar werd een aantal grote Amerikaanse sociale netwerksites gehackt en een paar maanden later werd Sony meerdere malen gehackt. Op zich was dit nog voor veel mensen een-ver-van-mijn-bed-show en maakte niemand zich er echt druk om.
Deze zomer kwam het allemaal al wat dichterbij toen duidelijk werd dat de huisleverancier van digitale certificaten voor de overheid niet meer vertrouwd kon worden. Hier hadden al meer mensen last van hoewel de directe gevolgen, afgezien van een melding, misschien niet merkbaar waren.
Afgelopen maand kwam daar verandering in toen Webwereld een oproep deed om in het kader van Lektober zoveel mogelijk websites te hacken. Plotseling waren niet langer alleen de bekendere of interessante websites een doel, maar was iedere website een mogelijk slachtoffer. Persoonsgegevens, rekeningnummers, geboekte reizen, alles kon plotseling op straat liggen.
De roep om een betere beveiliging kwam dan ook vanuit de consument en de politiek. Ook van kwaliteitskeurmerk 'Thuiswinkel Waarborg' kwam de aankondiging dat er voortaan meer eisen aan de beveiliging van websites worden gesteld. Een goede ontwikkeling. De grote vraag is echter in hoeverre deze eisen haalbaar en met name controleerbaar zijn.
Vooral het midden- en kleinbedrijf heeft vaak een zeer beperkt IT budget en geen of zeer weinig eigen ontwikkelaars. Voor veel van deze bedrijven is het inhuren van expertise, het aankopen van dure tools, het laten uitvoeren van security scans of het opleiden van intern personeel dan ook geen optie. De vraag is dan ook hoe deze bedrijven hun applicaties getest krijgen.
Een optie is dat er voor leden via een centraal loket een audit te verkrijgen is voor een gunstigere prijs waarbij het loket ook ondersteuning biedt. Veel webwinkels maken echter gebruik van hosters met standaardpakketten voor hun webapplicaties en zijn dus niet zelf eigenaar van het systeem. Dit biedt een uitdaging als de hoster niet akkoord gaat met het (laten) uitvoeren van een dergelijke scan. Een ander probleem van het gebruiken van standaardpakketten bij een hoster is dat er vrijwel geen invloed uitgeoefend kan worden bij het oplossen van problemen. Hierdoor kan een kwaliteitskeurmerk een behoorlijke 'wassen neus' worden.
De oplossing is dan ook niet het controleren en oplossen achteraf, maar de beveiliging vanaf het begin als eis meenemen. Thuiswinkel Waarborg moet hierop inspringen door zelf een initiatief op te zetten wat voor de bij hen aangesloten bedrijven tot op een zeker niveau de veiligheid garandeert.
Dit kan in de vorm van een veilig platform aan te bieden waarop leden hun applicaties kunnen hosten. Thuiswinkel Waarborg kan in eigen beheer een goed beveiligde omgeving neerzetten en die vervolgens aanbieden aan hun klanten. Door dit platform centraal te beheren is het ook makkelijker de veiligheid te controleren en te waarborgen.
Daarnaast zouden ze hun klanten moeten verplichten om bepaalde security standaarden in hun sites te gebruiken. Ter ondersteuning zou Thuiswinkel Waarborg inzichtelijk moeten maken welke 'standaard' pakketten veilig genoeg zijn en welke niet. Eindverantwoordelijk blijft een webwinkel zelf, maar Thuiswinkel Waarborg zou hier een ondersteunende en adviserende rol in moeten gaan spelen. Pas als bedrijven dat gedaan hebben en ze hebben hun site gehost bij de beveiligde omgeving van Thuiswinkel Waarborg zelf, dan krijgen ze het certificaat.
Het begint echter allemaal met 'awareness' aan de klantzijde. Pas als webwinkels zich ervan bewust worden dat de problemen groot zijn en de oplossingen duur, zal dit initiatief kans van slagen hebben. Zolang het bewustzijn er niet is, zal een kwaliteitskeurmerk ofwel niets kunnen afdwingen ofwel geen praktische waarde blijken te hebben.
Dave van Stein
Security Testspecialist
Ps. reageren? Mail dan naar Dave van Stein, Dit e-mailadres is beschermd tegen spambots. U heeft Javascript nodig om het te kunnen zien.
