Overheid en markt stellen beveiligingseisen op voor mobiele applicaties

Met het toenemende gebruik van mobiele platformen neemt ook de behoefte toe aan meer grip op de beveiliging van mobiele apps. Welke beveiligingseisen zijn essentieel bij het aankopen en ontwikkelen van mobiele apps? Het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) heeft samen met een aantal kennispartners 19 beveiligingseisen opgesteld die opdrachtgevers en leveranciers kunnen hanteren om tot veilige applicatiesoftware voor smartphones en tablets te komen.

De interactie tusen burgers en overheid digitaliseert in snel tempo, waarbij mobiele apps toenemende belangstelling krijgen. Omdat er in potentie met mobiele apparaten in onveilige omgevingen kan worden gewerkt, zijn er hogere risico’s verbonden aan het gebruik van mobiele apps. Zeker gezien het feit dat er vaak vertrouwelijke of privacygevoelige informatie wordt verwerkt door deze apps. Deze risico’s zijn dan ook vele malen groter dan de risico’s met applicaties op een beter beschermde server.

Beveiligingseisen
De 19 beveiligingseisen zijn opgesteld om zowel opdrachtgever als leverancier houvast te geven bij de (minimale) vereisten voor het laten ontwikkelen van een goed beveiligde mobiele app. De onderwerpen die worden geadresseerd betreffen een breed palet aan security-aspecten waaronder de beveiliging van de server-side applicatie, het up-to-date houden van apps, de integere werking van de app, de opslag van data op het mobiele apparaat, de informatie die in het cache-geheugen wordt opgeslagen en logging. Alle 19 beveiligingseisen beperken zich tot de applicatielaag van een systeem. Beveiligingseisen die gesteld worden aan bijvoorbeeld de infrastructuur, de werkplek of de medewerkers zijn niet meegenomen. Hiervoor kunnen bestaande frameworks voor informatiebeveiliging gebruikt worden, zoals ISO 27002.

Bij het opstellen van de beveiligingseisen is mede gekeken naar de verantwoordelijkheden van verschillende stakeholders, zoals de opdrachtgever van de app, de interne of externe softwareleverancier, de plek van waaruit de app kan worden gedownload (bijvoorbeeld een app store) en de gebruiker. Samen met de eerder door CIP ontwikkelde methode “Grip op SSD”, waarin wordt beschreven hoe je aan de serverzijde op een veilige manier applicaties ontwikkelt, wordt een oplossing geboden om tot beter beveiligde software te komen. 

Beperkte lijst
Er is bewust gekozen voor het opstellen van een beperkte lijst om te voorkomen dat er een overdaad aan eisen ontstaat. De lijst met beveiligingseisen is hier te vinden.