‘Alle developers zijn security-engineers, ze weten het alleen nog niet’. Met deze stelling wil Carlo Klerk, security consultant bij Xebia, aangeven dat security en privacy al bij de geboorte van software geïntegreerd moeten worden. Testen is hiervoor essentieel, al moet er altijd rekening gehouden worden met het zogeheten ‘datadilemma’.
Dat stellen Marcel Bosgra (sales engineer bij CyberArk), Carlo Klerk (security consultant bij Xebia), Eric Hoefman (managing partner bij EntrD), Rob van der Veer (principal consultant bij de Software Improvement Group) en Edwin van Vliet (senior consultant bij Suprida) tijdens het Computable-debat. Het debat over security en privacy bij softwareontwikkeling vindt plaats in het Computable Café tijdens de ict-beurzen Infosecurity.nl en Data & Cloud Expo in Jaarbeurs Utrecht.
Datadilemma
Hoefman geeft aan dat veilige softwareontwikkeling gaat over veilig gebruik van data. Van Vliet is het hiermee eens en hij zegt dat er al vanaf de start van softwareontwikkeling gedacht moet worden aan privacy. ‘Bedenk altijd of je bepaalde data wel nodig hebt’. De heren spreken over het datadilemma. Hoefman: ‘Alles wat je wilt doen buiten de live-omgeving gaat niet zonder representatieve data, maar deze data wil je daar niet hebben. Je kunt ook niet werken met representatieve ‘x-jes’. Het dilemma houdt in dat de data onherkenbaar moet zijn, maar wel representatief’. Een manier om dit voor elkaar te krijgen is volgens hem door zelf data te genereren. Van Vliet vult aan dat dit zeker kan, maar dat je hiervoor geen data uit de productie moet nemen. Een andere optie is het anonimiseren van data. Hoefman geeft daarbij aan dat je hierbij alle data die een bedrijf al heeft kunt gebruiken en heb je ook voldoende voor een testomgeving.
Privacy-officer
De heren staan ook nog stil bij de rol van privacy-officer. Ze geven hierbij aan dat deze functie niet te benijden is. Hoefman: ‘Het is een moeilijke rol, want je krijgt vaak niet het mandaat om het anders te doen. Ik vind daarom dat iedereen op senior managementniveau de verantwoordelijkheid voor privacy moet dragen en dat je dit niet bij één iemand kunt leggen.’
Ook Klerk geeft aan dat awareness essentieel is en dat ook developers niet moeten denken dat privacy ‘iets is voor juristen’. ‘Alle developers zijn security engineers, ze weten het alleen nog niet. Al bij de bouw van software moet security een vanzelfsprekend onderdeel zijn.’ Van Vliet vindt dat security als design als voorbeeld moet dienen voor privacy by design. ‘Bij security by design worden er in modules al via standaardcodes security ingebouwd. Dit moet ook bij privacy de standaard worden.’
Logging
Tot slot spreken de heren over logging. Hoefman: ‘In softwaredevelopment zijn hier zeker stappen voor nodig, developers moeten niet denken ‘het systeem doet het wel’’. Wel geeft hij aan dat het handiger is om logging in te bouwen bij nieuwe software dan al in bestaande systemen. Van Vliet beaamt dit, maar benadrukt dat logging en auditing ook een onderdeel zijn van de AVG en dat bedrijven er toch aan moeten voldoen.
Alle heren zijn het er daarnaast over eens dat snel ontwikkelen nooit ten koste mag gaan van privacy en security. ‘Iedereen moet beseffen dat privacy en security essentieel zijn. Daarnaast is een geaccepteerd risico geen verdwenen risico. De instelling ‘We see it when we get there’ moet je als bedrijf echt niet hebben. Pas in actie komen op het moment zelf is het slechts mogelijke scenario’, besluit het vijftal.
