Voordat er apps worden geïnstalleerd en gebruikt door bedrijven of werknemers, moet elke app een veiligheidscontrole ondergaan, of het nu gaat om vertaal-apps, gedeelde agenda's of berichtenplatforms. Hoe zorg je ervoor dat een app veilig is? Daniel Chromek, ESET's Chief Information Security Officer, heeft de belangrijkste vragen die elke IT-specialist zou moeten stellen bij het bepalen van de veiligheid van een app opgesteld.
1) Is er een checklist opgesteld?
"Wanneer we proberen te bepalen of een app of dienst veilig is, volgen we meestal een vooraf opgestelde checklist," legt Chromek uit. Dat is ook zijn eerste advies - bereid twee checklists voor:
- één gericht op wat je moet zoeken in de licentieovereenkomst of serviceovereenkomst van de app
- en een tweede over de app zelf en het gebruik ervan
De eerste checklist kan worden gebaseerd op de ISO 27002 standaard, de tweede op de OWASP (mobiele) applicatie beveiligingsverificatie standaard en je eigen eerdere ervaringen. Wat moet er in de checklist staan? De volgende punten kunnen je hierbij helpen.
2) Is er een geheimhoudingsovereenkomst in het contract opgenomen?
IT-specialisten moeten ervoor zorgen dat het contract een geheimhoudingsovereenkomst (NDA) bevat voor elke app. "Op het gebied van service is een NDA vaak slechts vaag gedefinieerd. Meestal vinden we een algemene zin over gegevensbescherming, maar als we er zeker van willen zijn dat de app veilig is, moeten we misschien op zoek naar meer informatie. Er kunnen bijvoorbeeld meer gegevens staan in de beveiligingsbeschrijving van een app of in auditrapporten over beveiliging (bijvoorbeeld een SOC2-rapport: dit is een document dat wordt opgesteld door een onafhankelijke auditor om de effectiviteit van de beveiligings- en privacy praktijken van een serviceorganisatie te evalueren. Deze kunnen de IT-specialisten een idee geven over wat er gebeurt met gegevens in de app, of ze versleuteld zijn of niet, enzovoort," zegt Chromek.
Een ander aspect dat moet worden overwogen met betrekking tot de geheimhoudingsovereenkomst, is wat er gebeurt met de gegevens nadat het gebruik van de app is beëindigd. "Blijven ze beschermd? Worden ze verwijderd? Krijgt het bedrijf ze terug? Dat zijn belangrijke vragen die beantwoord moeten worden voordat de veiligheid van een app wordt vastgesteld," voegt de CISO van ESET toe.
Servicevoorwaarden: Niet gelezen Deze website (en bijbehorende browserplug-in) biedt een overzicht van de algemene voorwaarden van verschillende apps en geeft ze een cijfer van A tot F. De site kan nuttig zijn voor zowel gebruikers, als IT-beheerders. En hoewel het niet moet worden gezien als de primaire bron, kan het de lezers een beter idee geven over de veiligheid van de app. |
3) Wat gebeurt er als de app niet werkt of uitvalt?
"We moeten niet vergeten dat een app afhankelijk kan zijn van een service, die kan uitvallen. We moeten ons dus afvragen: wat gebeurt er met onze gegevens als de service niet werkt?" legt Chromek uit. Een IT-specialist moet controleren hoe het contract omgaat met mogelijke storingen van de service en zoeken naar rapporten of statuspagina's met statistieken die laten zien hoe vaak de app uitvalt en hoe lang deze momenten duren.
Een servicecontract moet ook specificeren welke compensatie klanten mogen verwachten wanneer de service uitvalt of wanneer de functionaliteit en storingsratio afwijken van de verwachte aantallen. Er zijn verschillende soorten storingen waar de app mee te maken kan krijgen. Dit gaat van een klein intern probleem tot grote bedrijfscontinuïteitsstoringen (zoals de brand in het datacenter van OVHcloud) en zelfs grotere ‘’stroomstoringen" (bijvoorbeeld door oorlog of natuurrampen).
De aangewezen compensaties zullen meestal verschillen in elk van deze gevallen, en sommige van de bovenstaande scenario's kunnen zijn opgenomen in paragrafen over beperking van aansprakelijkheid of overmacht.
2022 Atlassian uitval In april 2022 kreeg Atlassian, een Australisch softwarebedrijf, te maken met een storing waardoor klanten wekenlang geen toegang hadden tot hun diensten. Het bedrijf ontving berichten van klanten over het probleem, maar zij gaven dagenlang slechts zeer vage informatie over het probleem of de mogelijke oplossing. Uiteindelijk bleven verschillende klanten van Atlassian achter met grote verliezen, waarvoor ze mogelijk alleen worden gecompenseerd in de vorm van tegoeden/kortingen voor Atlassian-services. In dit geval is het de vraag of de compensatie passend of zelfs wenselijk is voor de klanten. Bron: The Pragmatic Engineer, 2022. |
4) Kunnen we penetratietesten doen?
Penetratietesten zijn gerichte beveiligingstesten die worden uitgevoerd op computersystemen, netwerken, webapplicaties, of andere digitale infrastructuur om kwetsbaarheden te identificeren en te verhelpen voordat cybercriminelen daar misbruik van kunnen maken.
Zelfs als de servicevoorwaarden er goed uitzien, kan het zijn dat de werkelijke technische staat van de beveiliging van de service niet goed is. Veel apps en diensten geven in hun rapporten geen informatie over beveiligingstesten. Daarnaast verbieden algemene voorwaarden vaak acties die een intern onderdeel zijn van het testen, zoals het proberen van ongeautoriseerde toegang te verkrijgen of het omzeilen van authenticatie.
Penetratietesten kunnen echter essentieel zijn om te bepalen of de service de gegevens van klanten effectief beschermt, of juist niet. IT-specialisten moeten daarom proberen te communiceren met de ontwikkelaars van een app en meer informatie krijgen over de resultaten van penetratietesten die de app in het verleden heeft ondergaan. Of om te proberen een aparte overeenkomst op te stellen die penetratietesten mogelijk maakt.
5) Is de app veilig ontwikkeld en gebruikt?
Om terug te komen op het feit dat je mogelijk een andere service gebruikt door alleen een app te installeren, zullen IT-specialisten moeten bepalen of de app veilig is en ervoor zorgen dat deze veilig wordt ontwikkeld en gebruikt. Om deze informatie te krijgen, kunnen ze bestaande auditrapporten, zoals het SOC2 Type II-rapport, opzoeken of de nieuwe leverancier laten controleren.
6) Hoe reageert de verkoper op beveiligingsincidenten?
Een app kan naast incidentele uitvalproblemen ook te maken krijgen met andere ernstige incidenten, zoals datalekken. "Wanneer dit gebeurt, moeten we ervoor zorgen dat de leverancier ons informeert. Omdat bedrijven verantwoordelijk zijn voor hun klanten, partners en werknemers, moeten ze snel reageren op incidenten," legt Chromek uit. Als services persoonlijke gegevens verwerken, kan de noodzaak voor het melden van inbreuken voortkomen uit regelgeving zoals GDPR (Algemene verordening gegevensbescherming) of CCPA (California Consumer Privacy Act).
Laat je inspireren door de OWASP standaard voor het verifiëren van applicatiebeveiliging Het OWASP Application Security Verification Standard (ASVS) project biedt basisbeginselen voor de beveiliging van webapplicaties, maar zoals Daniel Chromek uitlegt, is het uitgebreid en kunnen sommige delen worden hergebruikt voor "fat client apps ". Fat client apps, ook wel bekend al thick client apps, zijn softwaretoepassingen die veel van de verwerkings-en rekenkracht lokaal op het apparaat van de gebruiker uitvoeren. IT-specialisten kunnen het gebruiken als inspirerende leidraad en er enkele punten uitpikken die volgens hen het meest relevant zijn voor hun bedrijf. |
7) Hoe gaat de app om met intellectueel eigendom?
IT-specialisten moeten goed opletten hoe de gecontroleerde app omgaat met intellectueel eigendom, zoals auteursrechten, octrooien en databankrechten. "In het contract kan vaak staan dat de app niet verantwoordelijk is voor inhoud die is gedownload om serviceproviders te beschermen tegen rechtszaken over auteursrecht (bijvoorbeeld onder DMCA). Het kan ook specificeren dat de app bepaalde inhoud mag gebruiken voor specifieke doeleinden zoals 'serviceverbeteringen', wat kan leiden tot de ontwikkeling van concurrerende producten. Al deze details moeten in overweging worden genomen," aldus Chromek.
8) Waar heeft de app recht op?
Als het bijvoorbeeld gaat om berichten-apps, moeten er veel verschillende soorten acties mogelijk worden gemaakt. Denk hierbij aan: berichten en media verzenden, gesprekken opnemen, locatie delen, enzovoorts. Sommige apps hebben echter niet zoveel rechten nodig: "Als we bijvoorbeeld een app hebben die zich richt op online evenementen, maar wel je locatie, toegang tot je telefoongesprekken, het versturen van sms'jes en dergelijken opeist, heeft dat geen zin. Probeer na te denken over wat de app doet en controleer dan of de eisen van de app niet verder gaan dan wat redelijkerwijs nodig is," stelt Chromek vast.
Tussen de regels door lezen "Een app of dienst kan niet verbergen wat het doet en het zo wel het bedrijf achter de app of dienst draaiende houden. Het is in overeenstemming met de servicevoorwaarden als het gegevens verzamelt of je informatie deelt met andere bedrijven. De app kan soms wel proberen om belangrijke informatie te overschaduwen met algemene zinnen, lange opsommingen of toevoegingen in de kleine lettertjes. Het loont de moeite om de voorwaarden grondig te lezen en andere bronnen te zoeken, zoals betrouwbare rapporten." Daniel Chromek, ESET's Chief Information Security Officer |