Column: Belang beveiligingsbeleid nog té vaak onderschat
Op 6 april jongstleden maakte de NOS bekend dat de website van de Geschillencommissie een jaar lang slecht beveiligd is geweest. Tien dagen na het incident is de website nog steeds afgesloten voor het publiek. Dat getuigt dat de commissie niet kon voorkomen, maar ook niet kan genezen. Met een goed opgesteld en nageleefd beveiligingsbeleid was de blamage vermeden.
Een journalist van het NOS journaal ontdekte dat hij toegang kon krijgen tot afgeschermde dossiers op de website van de Geschillencommissie. De techniek die hij hiervoor toe paste staat al jarenlang bekend als ‘parameter tampering’. Peter Moerkens, directeur van de Geschillencommissie, was echter ‘verbijsterd’ over het bestaan van dit lek in de beveiliging. In een reactie meldde hij dat de website door drie afzonderlijke beveiligingsbedrijven als veilig was bestempeld.
Zo blijkt wederom dat in het land der blinden, eenoog koning is. Parameter tampering is namelijk een van de meest basale manieren om beveiligingsmaatregelen te omzeilen. Hackers maken misbruik van het feit dat veel programmeurs voor de beveiliging uitsluitend vertrouwen op statische codes in het internetadres. Door deze code handmatig te veranderen creëren hackers een nieuw internetadres dat naar andere ogenschijnlijk afgeschermde webpagina’s leidt.
De vraag rijst daarom of er binnen de commissie wel voldoende aandacht was voor de analyses van de internetbeveiliging. In de praktijk blijkt vaak dat bedrijven hiervoor weinig of geen budget beschikbaar stellen. Meestal is het onderzoek niet meer dan een geautomatiseerde beveiligingsscan. Die leveren weinig meer op dan een vals gevoel van zekerheid.
Een grondige analyse van de website van de Geschillencommissie had gewezen op de kwetsbaarheid. Ook de programmeur van deze website had verdergaande maatregelen moeten nemen. Door een gedegen beveiligingsbeleid op te stellen en op te volgen, was parameter tampering onmogelijk geweest. Toegangsbeveiliging, dataversleuteling en bescherming tegen internetaanvallen moeten een integraal onderdeel zijn van het ontwerpen, programmeren en testen van iedere website of applicatie.
Een dikke twee weken na het incident is de website van de Geschillencommissie nog steeds afgesloten. Ook dat getuigt ervan dat het de organisatie ontbreekt aan goed beveiligingsbeleid. De website van de Geschillencommissie kon al op 6 april veilig toegankelijk zijn. Een vestigingsmuur om de website zou gebruikers die in het dossier van derden willen kijken al aan de poort tegenhouden. Alleen door beide ogen te openen voor het belang van een stringent beveiligingsbeleid kan de Geschillencommissie weer koning worden over het eigen domein.
Door Paul Derksen, Solution Architect en ethical hacker bij Motiv.
Het is tè (teh) niet té (tee).
[/taalnazi mode]
@SirDice - toepasselijk, zo net na Bevrijdingsdag; ook taalnazi's zitten er wel eens naast: http://taal.web-log.nl/taaladviesdienst/2007/02/accent_aigu.html
@SirDice - toepasselijk, zo net na Bevrijdingsdag; ook taalnazi's zitten er wel eens naast: http://taal.web-log.nl/taaladviesdienst/2007/02/accent_aigu.html
Het is tè (teh) niet té (tee).
[/taalnazi mode]
Mooi dat er mensen zijn die ook op dit soort details letten. Jammer genoeg heeft er geen 'audit' op de ethische en historische code plaatsgevonden. "Taalnazi" ???!!! Hoe ongepast, hoe onethisch en hoe weinig historisch besef ! Kies a.u.b.in hemelsnaam een andere naam !!!
Tjongejonge, het voorbeeld heeft met falende applicaties, waarschijnlijk door falend ontwerp, ondermaatse ontwikkel- en go-live processen, testen, kennismanagement, toezicht etc. te maken, maar wat is de relatie met beleid? Oh, dat dat er allemaal in voorgeschreven staat? Doe normaal - dat zijn verhaaltjes voor de vaak. De hele beleidsexercitie is geldverspilling om in hoog abstracte bewoordingen te schrijven dat je het goed moet doen, en het goede. Zo generiek dat je beter gewoon een boek uit de kast kunt trekken. Noem deze verzameling open deuren best practices en stuur de beleidsconsultants naar huis.
Heb nog een goede tip: verbied als je toch bezig bent ook het nemen van verkeerde besluiten en het maken van fouten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.