Elke werkdag behandelt Computable een onderwerp waarover lezers kunnen discussiëren. Vandaag over het hardnekkige gebrek aan security bij webdiensten.
Het kritieke belang van goede security bij webdiensten zoals hosting is helaas nog altijd niet algemeen onderkend. Neem het recente geval van een webhoster die miljoenen wachtwoorden in plaintext opslaat en na het lekken daarvan zeer moeizaam bereikbaar blijkt voor een responsible melder dat de accounts op straat liggen. Het geduld en de inventiviteit van security-expert Troy Hunt zijn danig op de proef gesteld.
‘Ik hoef waarschijnlijk niet met je te delen wat ik vind van hoe deze organisatie te werk gaat. Het is behoorlijk vanzelfsprekend als je alles hebt gelezen wat hier boven staat’, sluit Hunt zijn lijvige blogpost af. Het horrorverhaal over 000webhost is volgens hem echter geen uitzondering, maar exemplarisch. De ethische security-expert draagt nog een reactie aan van (de 15-jarige) developer Oliver Dunk die ook door de 000webhost-affaire is geraakt. De site lijkt het werk van één individu of zeer klein team met weinig ervaring in het bouwen van sites op zo’n schaal, schat Dunk in. ‘Anno nu wordt security op het web simpelweg niet serieus genoeg genomen.’ Wat vind jij?
Inderdaad een probleem vandaag de dag. Het lijkt wel of software ontwikkelaars met een computer, kantoor drie-hoog-achter en een ziggo abonnement zich tegenwoordig Saas-leveranciers noemen. En dan bij vragen over de beveiliging, doorverwijzen naar de hosting partij!
Een keurmerk waar minimaal aan voldaan moet worden als SaaS leverancier is wenselijk.
Beste Jan,
Een dergelijk keurmerk bestaat er voor SaaS leveranciers die een online boekhoudapplicatie aanbieden. Zeker-OnLine beheert een normenkader van ongeveer 50 controledoelstellingen met 270 maatregelen, welke een minimum moeten zijn voor een aangeboden dienst alvorens het keurmerk Zeker-OnLine wordt toegekend. Dit normenkader is onder andere gebaseerd op de richtlijnen van het National Cyber Securtiy Center en Cobit, daarnaast zijn er diverse juridische maatregelen toegevoegd om zo tot een geheel te komen. De maatregelen moeten waarborgen bieden voor de belangrijkste aspecten als informatiebeveiliging, privacy, continuïteit /beschikbaarheid van een online dienst. Het voldoen aan het normenkader wordt vastgesteld door een onafhankelijke IT-auditor lid van de NOREA.
Dit Keurmerk is tot stand gekomen door samenwerking tussen diverse partijen waaronder een flink aantal softwareleveranciers en IT-auditors. Deze partijen deelden de gezamenlijke ambitie om Clouddiensten verder te ontwikkelen, betrouwbaarder en veiliger te maken en dit onderscheid naar de gebruikers zichtbaar te maken.
Een onlinedienst is samenwerking tussen veel verschillende leveranciers en deze structuur is voor de eindgebruiker moeilijk te doorgronden. Specifiek met betrekking tot jouw opmerking, een SaaS leverancier met het keurmerk Zeker-OnLine is verantwoordelijk voor de aangeboden dienst als geheel, dus ook de infrastructuur, en indien van toepassing, bij uitbesteding moet hij dus maatregelen treffen om nog steeds te kunnen voldoen aan alle 270 maatregelen. Zo moet er een geheel ontstaan van aanbieders die dezelfde kwaliteitsaspecten nastreven.
Wij hebben overigens wel de ambitie om verder uit te breiden naar andere domeinen. Wij zijn daarvoor in gesprek met diverse partijen. Uiteraard is de vraag van gebruikers hierbij van belang!