Hoe vermijd je geschillen over beveiliging van webapplicaties?
Door de toename van cyber-dreigingen zijn er steeds vaker geschillen over beveiliging van webapplicaties. Het onderzoeken van incidenten en het aanpakken van dreigingen kost namelijk tijd en geld, en eigenaren en leveranciers zijn het vaak niet eens over de verdeling van kosten. Door het maken van goede afspraken vooraf, kan dit worden voorkomen. Het is daarom aanbevolen om afspraken te maken over standaarden, taakverdeling en onderhoud.
Afspraken over standaarden voor informatiebeveiliging
Bij de ontwikkeling van maatwerk is het belangrijk om zo precies mogelijk te omschrijven wat de eisen zijn, zodat de leverancier goed kan schatten en plannen. Dit geldt ook voor beveiligingseisen: deze moeten helder omschreven worden. Het gebruik van standaarden zoals die van OWASP kan hierbij helpen: men kan dan afspreken dat de software minimaal aan deze standaard moet voldoen. De OWASP top 10 is een goed begin hierbij, omdat dit een heel bekende standaard is. Vaak is verdere uitwerking wel nodig, bijvoorbeeld omdat is de OWASP top 10 alleen staat dat logging aanwezig is maar niet in detail hoe het moet worden geregeld. Overigens kan het verstandig zijn om bij sommige applicaties andere standaarden te gebruiken, zoals programmeertaalspecifieke standaarden of de meer uitgebreide OWASP ASV en andere OWASP-projecten.
Afspraken over taakverdeling
Een andere bron van conflicten is onduidelijkheden over taakverdeling. Het is aanbevolen om webapplicaties expliciet te testen op informatiebeveiliging, bijvoorbeeld met een PEN-test. Een opdrachtgever verwacht vaak dat leveranciers de software getest leveren. Leveranciers verwachten juist dat de opdrachtgever dit organiseert, zodat het onafhankelijk is. Maak vooraf duidelijke afspraken welke testinspanningen de leverancier doet, of een onafhankelijke PEN-test nodig is en wanneer deze plaats vindt.
Afspraken over onderhoud
Een belangrijk aandachtspunt bij webapplicaties is onderhoud. Er worden regelmatig zwakheden ontdekt in software-componenten, en deze worden opgelost met updates. Een webshop die aan de afgesproken standaarden voldeed bij oplevering, kan enkele weken later al een update nodig hebben en dus onveilig zijn. Als de ontwikkeling en acceptatie lang duurt, is er al onderhoud tijdens het project nodig. Maak ook hier duidelijk afspraken over, zodat het onderhoud tijdig plaatsvindt. Opdrachtgevers die dit niet zelf kunnen, moeten een onderhoudspartij kiezen en een onderhoudscontract regelen, waarin ook beveiligingsupdates zijn opgenomen.
Auteur: Sieuwert van Otterloo
IT Deskundige