Brink Software: veilige tools voor de bouw- en infrasector
Beveiligingsbewustzijn verankeren in de dagelijkse operatie
Security naar een hoger niveau tillen is van het grootste belang.
Een groot deel van de gebouwde omgeving in Nederland - woonwijken, ziekenhuizen, snelwegen, kantoren, bruggen, enzovoort - is ooit berekend met de Ibis rekensoftware van Brink. Bijna alle vijftig grootste bouwbedrijven in Nederland gebruiken Ibis-rekensoftware voor het specificeren, begroten en administreren van hun projecten. “Aan de bovenkant van de markt zijn we dus goed vertegenwoordigd”, zegt manager productontwikkeling Ivo Huizinga. “En daarnaast bedienen we een paar duizend mkb-aannemers en zzp'ers in de bouw en infra.” Voor deze laatste groep is vorig jaar de nieuwe DEDDO applicatie gelanceerd. Met zo'n grote en diverse groep gebruikers is de beveiliging van het softwareplatform van het grootste belang.
OWASP-training
Vroeger richtte cybercriminaliteit zich vooral op grote ondernemingen, maar tegenwoordig zijn ook steeds meer mkb'ers het doelwit. Uit onderzoek van vorig jaar bleek dat ongeveer driekwart van de kleinere bedrijven ooit is aangevallen. "Ik weet dat er ook een keer een poging is gedaan om in te breken in onze systemen", zegt Ivo. "Gelukkig zonder succes, maar je moet er rekening mee houden dat je een keer slachtoffer kunt worden." Ze wisten dus al langer dat beveiliging "superbelangrijk" is voor Brink, aldus softwarearchitect Wema Wuyts. "We weten ook dat we veel al op orde hebben. We zijn ISO27001-gecertificeerd en worden daar jaarlijks op geaudit. Toch zagen we dat we bepaalde aspecten van beveiliging konden aanscherpen." Naast de jaarlijkse penetratietesten die Brink al liet uitvoeren, werd YieldDD gevraagd om een OWASP-training te verzorgen voor alle ontwikkelaars die zich bezighielden met de meest voorkomende beveiligingsrisico's in software.
Quote
Ivo Huizinga - Brink
De voordeur geopend
De aanpak hiervoor was een zogenaamde codegestuurde penetratietest. Dit omvat niet alleen het inbreken zelf, maar ook het openen van de voordeur. "We hebben Gerben en Ramon [beveiligingsspecialisten van YieldDD] uitgebreid toegang gegeven tot alles wat we hier doen en hoe we dat doen, inclusief de broncode van onze applicaties", aldus Wema. Toch richt de eerste stap in deze test zich niet op de code, maar op de ontwikkelteams die verantwoordelijk zijn voor de verschillende applicaties. Op basis van enquêtes en interviews worden de teams gescreend en ontstaat een breed beeld van waar de grootste potentiële beveiligingsrisico's liggen.
Vervolgens gaat de test de diepte in. De beveiliging van applicaties en hoe ze worden ontwikkeld, getest en vrijgegeven, wordt grondig onderzocht. Een deel hiervan gebeurt op een gestandaardiseerde manier, met behulp van een checklist en testtools, maar testers vertrouwen ook op hun eigen kennis, ervaring en intuïtie om te zien hoe ver ze de applicaties kunnen penetreren. Wema herinnert zich hoe Ramon op een gegeven moment "een bijzondere kwetsbaarheid" had gevonden: "Hij was heel diep in de code gedoken, ik kon me voorstellen hoe ver hij was gegaan om te zien wat hij kon bereiken. Heel bijzonder om dat te kunnen doen. En het mooie was dat Ramon me meteen belde om te zeggen dat hij iets had gevonden, heel goed kon uitleggen wat hij had gedaan en ons ervan overtuigde dat we er direct iets aan moesten doen."
Op een enkele vondst als deze na, leverde de test geen grote verrassingen op, maar bevestigde vooral Brinks visie op de beveiliging van zijn software. Ivo: "Toch is het heel waardevol om dat te laten beoordelen door externe specialisten die zich daar alleen op richten. Je wordt een grote spiegel voorgehouden. Natuurlijk heeft beveiliging ook de aandacht van onze eigen ontwikkelaars, maar zij houden zich toch vooral bezig met het ontwikkelen van nieuwe functionaliteiten om onze klanten te helpen."
Het Security Gilde
Op de vraag of YieldDD inderdaad heeft kunnen bijdragen aan het naar een hoger niveau tillen van softwarebeveiliging bij Brink, is het antwoord duidelijk. "Zeker", zegt Wema. "In ieder geval zijn er nieuwe kwetsbaarheden aan het licht gekomen, inclusief prioritering en mogelijke oplossingen, zodat we die gericht konden verhelpen. We hebben ook de nodige aanpassingen in onze werkwijze kunnen doorvoeren, bijvoorbeeld door de toegang en rechten van onze ontwikkelaars te verscherpen." Naast deze min of meer eenmalige maatregelen, geeft Ivo aan dat de grootste winst te behalen is door beveiliging meer centraal te stellen in de dagelijkse werkzaamheden. We willen dat beveiliging minder afhankelijk wordt van snapshots en fixes achteraf, maar we willen er wel voor zorgen dat alles wat we doen vanaf het begin goed beveiligd is. Dat draait erom onze ontwikkelaars nog bewuster te maken van het belang ervan. De OWASP-training heeft daar al een basis voor gelegd, en met de oprichting van onze Security Guild willen we die verder versterken. In die gilde hebben we mensen samengebracht die dit onderwerp interessant en belangrijk vinden en er goed in thuis zijn, om samen met YieldDD na te denken over hoe we onze beveiliging verder kunnen verbeteren.
Cases
-
Plain Vanilla neemt Euphoria Software over, leverancier van telematica-oplossingen en taximeters.
- Software Due Diligence
Lees verder
-
Beoordeling van softwarekwaliteit voor private equity-koper OxGreenfield
- Software Due Diligence
Lees verder
-
Nordian koopt J-Club, het retailsuccesverhaal dat je nog niet kende
- Software Due Diligence
Lees verder
-
CbusineZ investeert in machine learning om responstijden van ambulances te verbeteren
- Software Due Diligence
Lees verder