Nieuws

maandag 27 maart 2017

Security in IT ontwikkeltrajecten

Door: Daan Vellinga, business area manager Security Testing

Het is fijn om vroeg bij een IT ontwikkeltraject te worden betrokken. Vaak denken organisaties pas in een laat stadium aan de veiligheid van systemen en netwerken, en moeten projecten nog een testfase ondergaan vlak voor een live-gang. Daar komen dan aanbevelingen uit voor de verbetering van de veiligheid van wat er gemaakt is, en is er (te) weinig tijd om die verbeteringen goed door te voeren.

Gelukkig krijgen we tegenwoordig ook steeds vaker de vraag om klanten te helpen bij het ontwerpen van systemen en netwerken. We mogen regelmatig risicoanalyses uitvoeren op projecten die nog volop in ontwikkeling zijn. Ook onze trainingen (zoals veilig programmeren voor software ontwikkelaars, maar ook awareness trainingen voor overig personeel) helpen om problemen zoals datalekken en cyberaanvallen te voorkomen, of op een goede manier op te vangen.

Natuurlijk blijft het belangrijk om te controleren of de uiteindelijke implementatie van een systeem of netwerk ook in de praktijk veilig is, maar in de ontwerpfase is er al heel veel te ondervangen. Sommige kwetsbaarheden zijn moeilijk te mitigeren wanneer een systeem of netwerk al in productie is, maar kunnen aan het begin van het project voorkomen worden.


Een voorbeeld:
een bedrijf bouwt een nieuw internet of things (IoT) product. Wereldwijd staan er kleine kastjes die gegevens verzamelen over de fysieke omgevingen van de eindklanten. Alle informatie wordt over het internet verstuurd naar een centraal systeem in de cloud. Het is echter mogelijk voor kwaadwillenden om de verstuurde informatie te onderscheppen en te beïnvloeden. Door de verstuurde meetgegevens aan te passen kan een aanvaller beslissingen beïnvloeden die over honderdduizenden Euro's gaan.

Gelukkig draait het systeem nog als een pilot. De kosten van het verbeteren van het zelf ontwikkelde netwerkprotocol: een week ontwikkeltijd en een update uitrollen op 50 systemen. Dat valt mee, in vergelijk met de kosten wanneer alle klanten het systeem al zouden gebruiken: een week ontwikkeltijd, een update uitrollen op 1000 systemen, en excuses moeten maken voor het tijdelijk offline halen van de service.

Print

Nieuwsbrief

 

Blijf op de hoogte van de laatste security ontwikkelingen door je nu in te schrijven voor de Vest nieuwsbrief!


Ja, ik wil die nieuwsbrief!


 


Security 15 Minutes Live

Met Marc Hullegie

IT Tomorrow

met Marc Hullegie