'Verzamel geen gegevens die je niet kunt beschermen'

Datalekken en de privacyrel rond Facebook laten zien hoe riskant het is als bedrijven eigen software ontwikkelen die persoonsgegevens verzamelen. “Zelf software bouwen is technische schuld creëren”, waarschuwt Rob van der Veer, principal consultant van SIG. “Door aangescherpte privacywetgeving is data niet meer noodzakelijk 'het nieuwe goud', maar steeds vaker 'radioactief goud'. Ga er vanuit dat je ooit gehackt wordt en beperk nu alvast de schade.”

Als je persoonsgegevens niet goed kunt beschermen, verzamel ze dan niet. En bouw geen software die je op termijn niet kunt onderhouden en niet kunt vrijhouden van kwetsbaarheden. Met deze adviezen wil Van der Veer, die werkzaam is bij IT-adviesbureau SIG (Software Improvement Group), organisaties de komende jaren veilig en toekomstbestendig maken. “Security-incidenten en datalekken zullen steeds vaker voorkomen”, voorspelt hij. “Voor bedrijven en andere organisaties is dat een gegeven en het betekent twee dingen. Ten eerste: wees bescheiden met je digitale ambities. Bouw minder eigen software en beperk het bewaren van gegevens, zodat je minder op het spel zet. Ten tweede: als je software ontwikkelt, besteed dan veel aandacht aan het goed inbouwen van security en ook privacy. Kijk beter en eerder 'onder de motorkap'; onderzoek de broncode van je software op kwetsbaarheden en privacyfouten vaker en in een vroeger stadium van een ontwikkelproces.

Digitale bescheidenheid

Terughoudend zijn met het zelf ontwikkelen van softwaretools die persoonsgegevens van klanten verzamelen, is wat Van der Veer 'digitale bescheidenheid' noemt. “Het besef neemt toe dat zulke software een bedrijf ook kwetsbaar maakt. Zelf ontwikkelde softwaretoepassingen passen niet altijd bij de risico's die ze opleveren. Data werd lang gezien als 'het nieuwe goud'. Bedrijven wilden het onderste uit de kan en volop van persoonsgegevens profiteren. Maar nieuwe privacywetgeving, als de Algemene verordening gegevensbescherming (AVG), maakt duidelijk dat dit goud als 'radioactief' moet worden gezien. Heeft een bedrijf een datalek en liggen als gevolg de gegevens van klanten op straat, dan is dat bedrijf voortaan volledig zelf verantwoordelijk. Organisaties worden daardoor beperkt in wat ze kunnen doen met data, ten gunste van de rechten van het individu. Als het mis gaat, voelen de bedrijven naast de reputatieschade extra pijn in de vorm van boetes.”

Van der Veer ziet al de trend dat bedrijven bijvoorbeeld geen eigen app meer bouwen, maar terugvallen op 'slechts' een mobiele versie van de bedrijfswebsite. “Ik vind dat een verstandige afweging. Software bouwen is technische schuld creëren; software heeft constant onderhoud nodig. De houding van 'wie dan leeft, die dan zorgt' verdwijnt langzaam. Steeds meer organisaties zien de toekomstige problemen die ze zich op de hals kunnen halen door te enthousiast software te ontwikkelen.”

Kijk liever naar vertrouwde bestaande software en best practices in de markt, is Van der Veer’s advies. “Bedrijven kunnen software hergebruiken die hun 'peers' hebben ontwikkeld. Een vervoersbedrijf in Tokyo heeft bijvoorbeeld een systeem dat een Nederlands vervoersbedrijf prima kan overnemen. Bouw voort op bestaande technologieën en doe dat met veel aandacht voor de selectie en updates van wat je hergebruikt. Maar vooral: bezint eer ge begint. Zelf software ontwikkelen is een business case met een lange staart.”

Onder de motorkap

Het tweede advies van SIG is dat organisaties die toch zelf software ontwikkelen, meer aandacht moeten hebben voor het inbouwen van security en privacy daarin. “Het gaat om de kwaliteit van een softwareproduct onder de motorkap”, legt Van der Veer uit. “Alleen in de broncode van software kun je zien of security en ook privacy goed is ingebouwd.”

Veel legacy stamt uit een tijd waarin bedrijven te weinig aandacht hadden voor security. “Laat staan voor privacy”, benadrukt Van der Veer. “SIG is een zeer snel groeiend bedrijf en dat is niet zomaar. Wij zien en snappen dat organisaties zich willen verbeteren en security écht willen inbouwen. Ook met terugwerkende kracht. Als je de keuze hebt moet je security vanaf het begin inbakken en niet achteraf toevoegen. Penetratietests achteraf komen meestal te laat of zijn oppervlakkig. Of bedrijven vallen terug op tools die hun systemen geautomatiseerd moeten scannen, maar die vinden vaak maar de helft van de problemen.”

Om de broncode van zowel nieuwe als bestaande software op orde te hebben, kiezen de meeste organisaties volgens Van der Veer voor wat hij noemt een 'babysitmodel'. “Een securityexpert van buiten moet als een duizendpoot de eigen ontwikkelaars begeleiden. Het liefst willen ze zo'n professional in elk softwareteam. Probleem: ontwikkelaars worden niet uitgedaagd het zelf te gaan regelen en in heel Nederland zijn er maar een paar babysitters die alle gewenste kennis en kunde hebben. En daar komen wij in beeld. SIG biedt een soort A-Team dat we overal kunnen inzetten. We hebben inmiddels 115 medewerkers die samen meer dan tweehonderd programmeertalen ondersteunen. Die kunnen we situationeel, en dus heel efficiënt en betaalbaar inzetten als vliegende coaches.”

Gehackt?

Tot slot: ieder bedrijf kan er maar beter vanuit gaan dat het vroeg of laat gehackt wordt. “Maar een organisatie kan zelf de schade en de gevolgen bepalen”, stelt Van der Veer ons deels gerust. “Zorg dat aanvallers niet ver komen, je een aanval snel opmerkt en er niet veel te halen valt. Zorg voor broncodekwaliteit en denk goed na welke gegevens je verzamelt. Het probleem daarbij is overigens niet alleen een gebrek aan expertise. De standaarden van wat veilige software is, zijn verre van eenduidig. Er is fragmentatie, maar ook daar kan SIG helpen. Wij hebben op basis van ISO 25010 een kapstok gemaakt waar we verschillende standaarden aan op hangen. Zo'n harmonisatie maakt de toepassing van de juiste standaard situationeel toepasbaar.”

Toch ziet Rob van der Veer wel degelijk mooie oplossingen die het mogelijk maken om waarde te halen uit persoonsgegevens zonder de privacy in gevaar te brengen. “Denk bijvoorbeeld aan het gebruik van pseudoniemen, waarbij je de gegevens van een individu koppelt aan een code of sleutel die niet te herleiden is tot het individu zelf. Of je wilt het aantal unieke bezoekers op je website weten, maar telt en bewaart daarvoor alleen de hashes van hun IP-adressen. Vergeet niet: de toenemende aandacht voor privacy biedt ook kansen. Bedrijven die goed omgaan met security en privacy, halen een steeds groter concurrentievoordeel op het gebied van vertrouwen.”

Door: Witold Kepinski