U heeft ongetwijfeld het DigiNotar-drama nog vers in uw geheugen zitten. Nadat Webwereld de maand oktober heeft uitgeroepen tot Lektober zullen veel meer bedrijven zich actiever bezig moeten gaan houden met het dichttimmeren van hun software, maar hoe wordt dat ontvangen?

Door Edwin Dijk

Persoonlijk vind ik beveiliging een heel leuk onderwerp van software engineering. Eén van de leukste onderdelen van het bouwen van een applicatie.

De schandalige waarheid is echter dat veel bedrijven de tijd niet nemen om hier serieus mee aan de slag te gaan.

Waterdicht?

U kunt zich terecht afvragen of uw gegevens veilig zijn opgeslagen. Gaat u maar eens na waar uw gegevens allemaal rondzwerven. Uw online facturatiesysteem bijvoorbeeld, maar ook de voetbalclub, websites waar u lid van bent, et cetera.

Of uw gegevens veilig zijn is erg lastig te controleren zonder technische kennis. En zelfs al heeft u de technische kennis wel, is het illegaal om te proberen uw eigen gegevens te hacken uit andermans systeem. Want hoe waterdicht is het allemaal nou echt?

Miljoenenbusiness

Er gaan honderden miljoenen op aan de ontwikkeling van systemen als de OV-chipkaart, het EPD (elektronisch patiëntendossier) en recentelijk is weer aangegeven dat er ruim 300 miljoen euro uitgegeven wordt aan een nieuw systeem voor de KLPD.

Als de meerderheid van deze systemen vervolgens zo lek als een mandje blijkt te zijn, laat dat duidelijk zien hoe lastig security eigenlijk is. Je kunt mij niet vertellen dat voor een budget van honderden miljoenen euro’s, vervolgens de buurjongen ingehuurd wordt ‘die zo handig is met computers’.

Budget

Met andere woorden: beveiliging is een kernwoord in software ontwikkeling. Als u een software-applicatie laat ontwikkelen, schaam u dan vooral niet om de ontwikkelaar te vragen hoe het zit met de beveiliging. Laat het hem of haar maar even in Jip en Janneke taal uitleggen.

De garantie dat alles potdicht zit heeft u nooit, maar het bewustzijn scheelt al een hoop. Het is tenslotte niet de bedoeling dat de gegevens van al uw klanten open en bloot op straat komen te liggen.

Mijn eigen ervaring is dat de meeste beveiligingsfouten ontstaan onder tijdsdruk. Zoals het spreekwoord al zegt: haastige spoed is zelden goed. Hetzelfde gaat eigenlijk op als we het hebben over budget. Een te klein budget zorgt voor hoge tijdsdruk en een te hoge tijdsdruk zorgt vervolgens voor een hoger foutgehalte.

Niet bezuinigen

Als laatste wil ik u meegeven, opvolgend aan de laatste alinea: als u een softwarepakket laat ontwikkelen waarin gewerkt wordt met persoonsgegevens, bezuinig vooral niet op de beveiliging ervan. In dit soort gevallen wordt goedkoop uiteindelijk duurkoop.

Huur desnoods een extern bedrijf in om een security audit uit te voeren, niemand wil tenslotte aan de privacyschandpaal genageld worden!

Edwin Dijk is eigenaar van TimeTick Urenregistratie Software en Sitix IT Innovations. Volgen via Twitter? Dat kan via @SitixTweets