Cybersecurity en privacy

We zien het voortdurend om ons heen en lezen het in de krant: er zijn steeds meer criminelen die misbruik willen maken van de mogelijkheden die het internet biedt. Met steeds inventievere methoden proberen ze gegevens te verkrijgen, meestal om eraan te verdienen. Tegelijk proberen bedrijven dat misbruik tegen te gaan en te voorkomen. Gelukkig worden ook die bedrijven steeds slimmer in cybersecurity.

Tom Voermans, senior configuration consultant van Schulinck In-Form bij Wolters Kluwer, beschrijft in deze opinie:

• Hoe Wolters Kluwer omgaat met security en privacy
• Waarom het verstandig is al vóór het ontwikkelproces na te denken over security
• Hoe Wolters Kluwer zorgt dat producten, zoals Schulinck In-Form, gegarandeerd veilig zijn

Er kan elk moment iets gebeuren

Met security loop je als bedrijf altijd een stap achter. Je kunt immers niet vooraf weten óf cybercriminelen het op je hebben voorzien en zo ja, wanneer ze zullen toeslaan en op welke manier.

Bij Wolters Kluwer gaan we ervan uit dat er elk moment iets kan gebeuren en dus zitten we er proactief bovenop. In het niet zo verre verleden was het gebruikelijk dat pas in de testfase van een applicatie werd gekeken wat er beter kon en moest op het gebied van security. Tegenwoordig komt dat moment steeds eerder in het proces.

Checken op risico’s gedurende het hele ontwikkelproces

Met speciale tools zoals Static Application Security Testing (SAST), kijken we bij de broncode van een applicatie naar mogelijke risico’s. De code wordt met die tooling voortdurend op kwetsbaarheden gecontroleerd. Zo checken we gedurende de hele ontwikkelfase - en niet pas aan het einde daarvan - of het mogelijk is om misbruik van de applicatie te maken.

Voor Schulinck In-Form, de applicatie met veilige digitale formulieren voor gemeenten, werken we ook met threat modeling. Daarbij onderzoeken we nog voordat we gaan programmeren welke partijen er mogelijk misbruik zouden willen maken van de informatie. Als we dat weten, kunnen we bedenken op welke manier ze dat zouden kunnen doen. Met die mogelijke bedreigingen in het achterhoofd starten de ontwikkelaars van Schulinck In-Form vervolgens het ontwikkelproces.   

Veiligheid en gegevensbescherming

Naast security by design is ook privacy by design - het in de ontwikkelfase aandacht besteden aan gegevensbescherming - een aspect om mee te nemen in de ontwikkeling van iedere applicatie. De ontwikkelaars van Schulinck In-Form denken over elke code na en vragen zich af welke gevolgen iedere stap van het proces zou kunnen hebben voor de security en privacy.

Versleutelen en hashen

Het versleutelen van alle gevoelige gegevens is al jaren een vanzelfsprekendheid bij Wolters Kluwer, waarbij we onderscheid maken tussen versleutelen en hashen:

• Een versleuteld bestand kan op een andere plek met de juiste sleutel worden gedecodeerd om de inhoud ervan te bekijken. Gegevens worden dus versleuteld wanneer ze op een later moment weer nodig zijn (bijvoorbeeld bij het doorsturen van een aanvraag naar de back-office).
• Hashing is eenrichtingsverkeer: als een bestand (of wachtwoord) eenmaal is gehasht, kan het niet meer worden terugvertaald. Het hashen van gegevens doen we daarom alleen wanneer we slechts een controle op de gegevens willen uitvoeren (bijvoorbeeld een wachtwoord dat hoort bij een account).

Checks door ethische hackers

Het uitsluiten van risico’s staat dus hoog op het prioriteitenlijstje van de ontwikkelaars van Schulinck In-Form. Op alle mogelijke risico’s worden zeer regelmatig checks uitgevoerd. Niet alleen door Wolters Kluwer zelf, ook door externe partijen die onze applicaties testen met ethische hackers – dat zijn hackers die wij uitdrukkelijk toestemming geven om te proberen in te breken in onze systemen.

Dat is altijd spannend, want we hebben er alles aan gedaan om de systemen veilig te maken, dus hopen we dat ze niet kunnen worden gehackt. Als het wél lijkt te lukken is dat jammer, maar dan zijn in ieder geval de risico’s blootgelegd voordat cybercriminelen in de systemen proberen te komen.

Assessments en audits

Systemen moeten gegarandeerd veilig zijn voor onze klanten en onszelf, vinden we bij Wolters Kluwer. Daarnaast hebben we vanuit onze rol als leverancier van applicaties natuurlijk ook te maken met verplichtingen die gemeenten wettelijk moeten doorlopen, zoals assessments en audits. De meeste gemeenten gebruiken DigiD voor hun aanvraagformulieren en moeten om de DigiD-aansluiting in de lucht te mogen houden daarop jaarlijks een audit laten uitvoeren.

Op technisch gebied zit de DigiD-aansluiting voor een groot deel bij Wolters Kluwer en ons deel moet dus aantoonbaar voldoen aan de richtlijnen, die steeds strenger worden. Daarom is de Schulinck In-Form applicatie, met slimme digitale aanvraagformulieren voor gemeenten, altijd tot in de puntjes bijgewerkt op het gebied van security. Nieuwe risico’s worden door de ontwikkelaars van Schulinck In-Form pijlsnel opgelost.

Gemeente kan burgers én medewerkers veiligheid garanderen

Bij Wolters Kluwer ontwikkelen we onze applicaties dus vanaf het allereerste moment met de gedachte dat de veiligheid ervan optimaal moet zijn. Om de risico’s te onderkennen gebruiken de ontwikkelaars van Schulinck In-Form allerlei tools en leren ze zoveel mogelijk uit de verplichte assessments. Daarbij zijn alle bedreigingen, groot en klein, voor ons belangrijk en ze worden even snel en adequaat opgelost.

Gebruikt een gemeente de producten van Wolters Kluwer, zoals Schulinck In-Form, dan kan die gemeente zowel de burger als de eigen gemeentelijke medewerkers de veiligheid garanderen die zij verwachten.