Podcast - Next.js
Tijdens deze speciale aflevering met videobeeld bespreken we Next.js, een javascript framwork.
Als het gaat om beveiliging dan is het altijd lastig te bepalen wanneer je ‘voldoende’ doet. Er is namelijk geen grens. Er zijn oneindig veel maatregelen om je website te beveiligen en er zijn net zoveel manieren om je website te hacken. Met andere woorden: een 100% veilige website bestaat niet.
Enkele jaren geleden was het vervelend als de website gehackt werd en er iets ‘geks’ in de vorm van een tekst of een link op je website stond. Tegenwoordig laten hackers liever geen sporen achter en maken ze persoonsgegevens buit of zetten ze je website in bij een DDoS-aanval.
Sinds de meldplicht voor bedrijven en overheidsorganisaties om een datalek bij de Autoriteit Persoonsgegevens te melden, is het voor organisaties van belang om de beveiliging in orde te hebben. Niemand zit te wachten op een boete van € 820.000,-. Dit is de maximale boete die de Autoriteit Persoonsgegevens kan uitdelen wanneer men een organisatie nalatig acht.
Elke dag meldt een ziekenhuis een datalek
Eind 2016 maakte de Autoriteit Persoonsgegevens bekend dat er 304 meldingen door ziekenhuizen zijn gedaan sinds de wet van kracht is. Bron: Trouw
Een 100% veilige website bestaat niet. Maar wanneer je overduidelijk acties achterwege laat die de website en daarmee de gebruikers ervan, moeten beschermen, kun je als nalatig worden gezien. Wanneer je dus voldoende doet om de gegevens van jouw gebruikers te beschermen, voorkom je het risico om als nalatig te worden gezien. Hieronder licht ik enkele manieren toe om je website en de persoonsgegevens van je gebruikers te beschermen.
Dit is de meest simpele manier om de website te beveiligen. Door de website alleen nog maar aan te bieden in https-mode wordt al het verkeer van en naar de website voorzien van een encryptielaag. Een stuk veiliger dus. Met name als er gevoelige gegevens verstuurd worden zoals persoons-, inlog- of betaalgegevens.
85,6 procent van de Nederlandse bedrijfswebsites (exclusief webshops) die gevoelige gegevens verwerken maken niet gebruik van https blijkt uit onderzoek van SIDN en MKB Servicedesk.
Goed onderhoud, met name bij open source-systemen, is een must om de website zo up-to-date mogelijk te houden. Hackers maken graag gebruik van websites die belangrijke veiligheidsupdates niet doorvoeren. Niet alleen het CMS moet up-to-date gehouden worden. Zo gebruikt een CMS vrijwel altijd meerdere modules, themes en plug-ins die op zichzelf ook updates nodig hebben.
Naast de website zelf is ook de webserver onderhevig aan updates. Bij een shared hosting-omgeving ligt deze verantwoordelijkheid bij de hostingprovider, maar veel organisaties huren een eigen (dedicated) webserver. Op deze webserver draaien verschillende softwaresystemen om o.a. de website te kunnen hosten, en bij gebrek aan onderhoud biedt dit opties voor een hacker om toegang te krijgen tot de webserver. Huur je een eigen (dedicated) webserver? Maak dan goede afspraken met de hostingprovider over de beveiliging of stap over naar een ‘managed’ webserver. Bij een managed server is de hostingprovider verantwoordelijk voor het beheer en up-to-date houden van de webserver.
Wanneer de basis in orde is, dan is het raadzaam te kijken naar het gebruikte CMS om de beveiliging te verscherpen.
Vergelijk het met een huis waarbij de sloten op de deuren in orde zijn, maar waar je ook aandacht moet geven aan dat kleine raampje in de keuken.
Hieronder noem ik enkele verbeteringen die wij vaak doorvoeren. Per CMS wisselen deze, maar wij werken voornamelijk met Drupal. Andere open source CMS-en zoals Wordpress en Joomla kennen vergelijkbare beveiligingsmaatregelingen.
Helft van alle datalekken bij Gemeenten wordt niet gemeld
Uit een steekproef van Reporter Radio blijkt dat de helft van alle datalekken bij gemeenten niet gemeld wordt aan de Autoriteit Persoonsgegevens. Autoriteit Persoonsgegevens wil strenger gaan optreden tegen datalekken. Bron: NPO
Een bewerkersovereenkomst is een wettelijk verplichte overeenkomst die je aangaat met partijen waarmee je samenwerkt en die toegang hebben tot jouw persoonsgegevens. Denk aan een hostingprovider of een internetbureau dat onderhoud doet aan je CMS. In de bewerkersovereenkomst leg je vast dat de ‘bewerker’ correct en veilig omgaat met jouw systeem en data. Wil je hier meer over weten? Bezoek dan de website van de Autoriteit Persoonsgegevens.
Bij de wet zijn bedrijven en organisaties sinds 1 januari 2016 verplicht een ernstig datalek binnen 72 uur te melden. Een datalek is ernstig als het gaat om een grote hoeveelheid data. Denk aan de inloggegevens van duizenden gebruikers. Het datalek kan ook als ernstig worden gezien als de data zeer gevoelig is. Denk aan rijbewijsgegevens, BSN-nummers, etc.
Grootste datalek ooit
Het ‘record’ van het grootste datalek tot nu toe staat op naam van Yahoo. Onlangs meldde Yahoo dat in 2013 de gegevens van 1 miljard accounts zijn buitgemaakt, bestaande uit e-mailadressen, geboortedata, wachtwoorden en telefoonnummers. Bron: NRC
Helemaal voorkomen dat er ooit een datalek ontstaat is niet mogelijk, maar je kunt het hackers wel een stuk lastiger maken. Dus stel een plan op, maak werk van je beveiliging en zorg dat alle partijen waarmee je samenwerkt bewust omgaan met de persoonsgegevens die zich binnen jouw website bevinden. Hierdoor maak je de kans op een datalek in ieder geval een stuk kleiner.
Wij delen graag de kennis die we in huis hebben
"Goed onderhoud, met name bij open source-systemen, is een must om de website zo up-to-date mogelijk te houden"
ook hier weer, open of gesloten systeem, beide moeten up-to-date worden gehouden.
vooral bij gesloten systemen is het probleem dat niemand de code kan controleren en er in sommige gevallen zelfs jaren lang gesloten systemen konden worden gehacked omdat de bedrijven van deze software dan wel zelf niet op de hoogte waren van het lek dan wel het lek stil hielden.
Dit soort security-by-obscurity is helaas tot op de dag van vandaag nog regelmatig aan de orde bij bedrijven die gesloten software leveren.
Des te meer reden om met open source software te werken.
Hier worden lekken veelal veel sneller en door meerdere partijen tegelijk gevonden en gemeld.