News

Soundbyte 41: Sold

22 april 2012

Sorry, this entry is only available in Nederlands.

Het begon deze week zo rustig met weinig spannend nieuws. En toen werd het weekend…

Treinbotsing

De hele zaterdag was ik afgesloten van het nieuws en toen ik naar bed ging keek ik even op teletekst of er nog iets gebeurd was. Bovenaan stonden de berichten over de treinbotsing in Amsterdam. Ik moet bekennen dat ik voornamelijk de koppen gelezen heb, dus ik weet er het fijne niet van. Maar dat dit soort ongelukken nog kunnen gebeuren vind ik vreemd. We leven in een tijd waarin ieder mobieltje een GPS ontvanger heeft, en je koelkast bij wijze van spreke kan communiceren met de fietsbel van je schoonmoeder. Dat het nog kan gebeuren dat er 2 treinen in een gecontroleerde omgeving frontaal botsen is eigenlijk te gek voor woorden.

Kabinet, niet

Vervolgens las ik dat de partijen er niet uitgekomen zijn in het Catshuis. Zeven weken opgesloten gezeten, en dan vlak voor de streep er toch net niet uitkomen.
Direct begon het moddergooien en het aanwijzen van schuldigen. Ik dacht dat het kabinet een soort van team was. Een team dat als collectief gefaald heeft en waar dus iedereen dus schuldig aan is. Het had de heren gesierd dat ook iets meer uit te dragen.

Security

Vrijdagavond keek ik naar de uitzending van Zembla, waarin de beveiliging van het verzuimpakket Humannet onder de loep genomen werd. Hoe ernstig de 2 voorgaande onderwerpen ook waren, dit heeft me hete hele weekend beziggehouden.

Verzuimbedrijven leggen op grote schaal medische gegevens vast. In de uitzending van afgelopen vrijdag kwam naar buiten dat de beveiliging van het meest gebruikte pakket hiervoor ver ondermaats blijkt te zijn.

Enkele feiten op een rijtje:

  • Loginformulier dat kwestbaar was voor SQL injection
  • Wachtwoorden als platte tekst opgeslagen in een database
  • Geen sterke wachtwoorden afgedwongen
  • Authenticatie enkel op basis van gebruikersnaam en wachtwoord

Dit is dus een softwarepakket waarin de financiële en medische gegevens van zo’n 300.000 mensen toegankelijk zijn.

HOE IS DIT MOGELIJK?!?!

Technisch mankeert er natuurlijk van alles aan deze software. Fouten die anno 2012 niet meer gemaakt mogen worden. Maar dit soort beveiligingsfouten blijven maar opduiken, het lijkt alleen maar erger te worden. Hoe kan dat toch? Ik heb zelf slechts 1 keer aan een systeem met echt gevoelige informatie gewerkt. Er werd daar weldegelijk over security nagedacht. Je hoorde mensen ook wel dingen zeggen als: “Security is zeer belangrijk, want als deze gegevens op straat komen te liggen kunnen we de tent wel sluiten” of “Als onze data op straat komt, zitten we vanavond in het 20:00 journaal”.

Maar, ho! Stop!

Dit toont volgens mij aan waar een van de problemen zit. Tot afgelopen vrijdag had ik er niet zo bij stil gestaan, maar wanneer je met gevoelige informatie te maken hebt zijn dit de verkeerde dingen om te zeggen. Wat je in dit soort omgevingen zou moeten horen is: “Security is het állerbelangrijkste, want als de gegevens van deze mensen op straat komen te liggen is dat verschrikkelijk voor hèn!”

Dát is hoe je over dit soort data zou moeten denken! Ieder record in je database bevat gevoelige informatie van een persoon, voor wie het heel vervelend kan zijn als die gegevens publiekelijk worden.
De realiteit is dat een groot deel van de mensen die met/aan dit soort systemen werkt, het eigenlijk niet zo heel erg interesseert wanneer het medisch dossier van Marietje uit Noordoost Groningen op straat komt te liggen. Iedereen roept het wel, maar velen voelen het niet zo. Terwijl je eigenlijk al slapeloze nachten zou moeten krijgen, wanneer de medische gegevens van slechts 1 persoon uitlekken. Wel vindt iedereen het uitermate ernstig wanneer het henzelf raakt. Of wanneer het bedrijf waarvoor je werkt door een dergelijk lek slecht in het nieuws komt, waardoor je mogelijk je baan verliest. Wellicht is de betrokkenheid van de meeste mensen die met/aan dergelijke systemen niet groot genoeg?

In de uitzending van vrijdag werd VCD terecht als grote schuldige aangewezen. De media aandacht is echter direct overgeslagen naar het vallen van het kabinet en de treinramp. Misschien dat dit de redding voor VCD is, maar normaal gesproken gaat dit bedrijf het einde van het jaar niet halen.
Nu is het voor veel mensen gevoelsmatig prettig dat er een schuldige aangewezen is die waarschijnlijk zal boeten. Erg zuur echter voor de vele medewerkers van dit bedrijf die er niets aan kunnen doen. Het echte probleem lossen we er ook niet mee op. Voorbeeld: een van de gebruikers had als wachtwoord ‘123456’. Hier werd in de uitzending geen aandacht aan besteed, maar sommige gebruikers die met medische gegevens werken interesseert security blijkbaar ook bar weinig. En dan de verzuimbedrijven die Humannet gebruiken. Die hadden toch moeten beseffen dat met dit soort gegevens enkel een gebruikersnaam/wachtwoord als authenticatie-mechanisme niet voldoet. En al die P&O afdelingen die dit soort verzuimbedrijven inschakelen. Die hadden ook wel wat kritischer mogen zijn, voordat ze hun personeel aan een dergelijk bedrijf overleveren. Nu zijn we in Nederland dol op regels. Zou het dan ook niet handig zijn enkele eisen te stellen aan systemen waarin dit soort gegevens vastgelegd worden. En dan ook te zorgen dat ze nageleefd worden.

Ik snap natuurlijk wel hoe het in de praktijk gaat, security is ‘lastig’. Ten eerste gaat goede security en gebruiksvriendelijkheid niet lekker samen. Ten tweede brengt het extra kosten met zich mee. Humannet is het meest gebruikte pakket in deze branche. Het had nooit zo groot kunnen worden, wanneer men de security helemaal op orde had gehad. Het was dan namelijk duurder en minder gebruiksvriendelijk geweest. Waardoor een concurrerend, minder goed beveiligd pakket waarschijnlijk de grootste was geworden.

Security problematiek leeft blijkbaar nog niet genoeg bij mensen. Mede aan ons om erop te blijven hameren.

Eenmaal andermaal

Na al het rotnieuws van dit weekeinde (heb ik het nog niet eens over Ajax gehad) nog even afsluiten met wat leuks: Instagram overgenomen door Facebook voor 1 miljard dollar! Nieuwe Internetbubble of niet, toch knap gedaan van die mannen.


Tim!
Het begon deze week zo rustig met weinig spannend nieuws. En toen werd het weekend…

Treinbotsing

De hele zaterdag was ik afgesloten van het nieuws en toen ik naar bed ging keek ik even op teletekst of er nog iets gebeurd was. Bovenaan stonden de berichten over de treinbotsing in Amsterdam. Ik moet bekennen dat ik voornamelijk de koppen gelezen heb, dus ik weet er het fijne niet van. Maar dat dit soort ongelukken nog kunnen gebeuren vind ik vreemd. We leven in een tijd waarin ieder mobieltje een GPS ontvanger heeft, en je koelkast bij wijze van spreke kan communiceren met de fietsbel van je schoonmoeder. Dat het nog kan gebeuren dat er 2 treinen in een gecontroleerde omgeving frontaal botsen is eigenlijk te gek voor woorden.

Kabinet, niet

Vervolgens las ik dat de partijen er niet uitgekomen zijn in het Catshuis. Zeven weken opgesloten gezeten, en dan vlak voor de streep er toch net niet uitkomen.
Direct begon het moddergooien en het aanwijzen van schuldigen. Ik dacht dat het kabinet een soort van team was. Een team dat als collectief gefaald heeft en waar dus iedereen dus schuldig aan is. Het had de heren gesierd dat ook iets meer uit te dragen.

Security

Vrijdagavond keek ik naar de uitzending van Zembla, waarin de beveiliging van het verzuimpakket Humannet onder de loep genomen werd. Hoe ernstig  de 2 voorgaande onderwerpen ook waren, dit heeft me hete hele weekend beziggehouden.

Verzuimbedrijven leggen op grote schaal medische gegevens vast. In de uitzending van afgelopen vrijdag kwam naar buiten dat de beveiliging van het meest gebruikte pakket hiervoor ver  ondermaats blijkt te zijn.

Enkele feiten op een rijtje:

  • Loginformulier dat kwestbaar was voor SQL injection
  • Wachtwoorden als platte tekst opgeslagen in een database
  • Geen sterke wachtwoorden afgedwongen
  • Authenticatie enkel op basis van gebruikersnaam en wachtwoord

Dit is dus een softwarepakket waarin de financiële en medische gegevens van zo’n 300.000 mensen toegankelijk zijn.

HOE IS DIT MOGELIJK?!?!

Technisch mankeert er natuurlijk van alles aan deze software. Fouten die anno 2012 niet meer gemaakt mogen worden. Maar dit soort beveiligingsfouten blijven  maar opduiken, het lijkt alleen maar erger te worden. Hoe kan dat toch? Ik heb zelf slechts 1 keer aan een systeem met echt gevoelige informatie gewerkt. Er werd daar weldegelijk over security nagedacht. Je hoorde mensen ook wel dingen zeggen als:  “Security is zeer belangrijk, want als deze gegevens op straat komen te liggen kunnen we de tent wel sluiten” of “Als onze data op straat komt, zitten we vanavond in het 20:00 journaal”.

Maar, ho! Stop!

Dit toont volgens mij aan waar een van de problemen zit. Tot afgelopen vrijdag had ik er niet zo bij stil gestaan, maar wanneer je met gevoelige informatie te maken hebt zijn dit de verkeerde dingen om te zeggen. Wat je in dit soort omgevingen zou moeten horen is: “Security is het állerbelangrijkste, want als de gegevens van deze mensen op straat komen te liggen is dat  verschrikkelijk voor hèn!”

Dát is hoe je over dit soort data zou moeten denken! Ieder record in je database bevat gevoelige informatie van een persoon, voor wie het heel vervelend kan zijn als die gegevens publiekelijk worden.
De realiteit is dat een groot deel van de mensen die met/aan dit soort systemen werkt, het eigenlijk niet zo heel erg interesseert wanneer het medisch dossier van Marietje uit Noordoost Groningen op straat komt te liggen. Iedereen roept het wel, maar velen voelen het niet zo. Terwijl je eigenlijk al slapeloze nachten zou moeten krijgen, wanneer de medische gegevens van slechts 1 persoon uitlekken. Wel vindt iedereen het uitermate ernstig wanneer het henzelf raakt. Of wanneer het bedrijf waarvoor je werkt door een dergelijk lek slecht in het nieuws komt, waardoor je mogelijk je baan verliest. Wellicht is de betrokkenheid van de meeste mensen die met/aan dergelijke systemen niet groot genoeg?

In de uitzending van vrijdag werd VCD terecht als grote schuldige aangewezen. De media aandacht is echter direct overgeslagen naar het vallen van het kabinet en de treinramp. Misschien dat dit de redding voor VCD is,  maar normaal gesproken gaat dit bedrijf het einde van het jaar niet halen.
Nu is het voor veel mensen gevoelsmatig prettig dat er een schuldige aangewezen is die waarschijnlijk zal boeten. Erg zuur echter voor de vele medewerkers van dit bedrijf die er niets aan kunnen doen. Het echte probleem lossen we er ook niet mee op. Voorbeeld: een van de gebruikers had als wachtwoord  ‘123456’. Hier werd in de uitzending geen aandacht aan besteed, maar sommige gebruikers die met medische gegevens werken interesseert security blijkbaar ook bar weinig. En dan de verzuimbedrijven die Humannet gebruiken. Die hadden toch moeten beseffen dat met dit soort gegevens enkel een gebruikersnaam/wachtwoord als authenticatie-mechanisme niet voldoet. En al die P&O afdelingen die dit soort verzuimbedrijven inschakelen. Die hadden ook wel wat kritischer mogen zijn, voordat ze hun personeel aan een dergelijk bedrijf overleveren. Nu zijn we in Nederland dol op regels. Zou het dan ook niet handig zijn enkele eisen te stellen aan systemen waarin dit soort gegevens vastgelegd worden. En dan ook te zorgen dat ze nageleefd worden.

Ik snap natuurlijk wel hoe het in de praktijk gaat, security is ‘lastig’. Ten eerste gaat goede security en gebruiksvriendelijkheid niet lekker samen. Ten tweede brengt het extra kosten met zich mee. Humannet is het meest gebruikte pakket in deze branche. Het had nooit zo groot kunnen worden, wanneer men de security helemaal op orde had gehad. Het was dan namelijk duurder  en minder gebruiksvriendelijk geweest. Waardoor een concurrerend, minder goed beveiligd pakket waarschijnlijk de grootste was geworden.

Security problematiek leeft blijkbaar nog niet genoeg bij mensen. Mede aan ons om erop te blijven hameren.

Eenmaal andermaal

Na al het rotnieuws van dit weekeinde (heb ik het nog niet eens over Ajax gehad) nog even afsluiten met wat leuks: Instagram overgenomen door Facebook voor 1 miljard dollar! Nieuwe Internetbubble of niet, toch knap gedaan van die mannen.


Tim!

2 Responses to Soundbyte 41: Sold

  1. Dick says:

    “Ik snap natuurlijk wel hoe het in de praktijk gaat, security is ‘lastig’. Ten eerste gaat goede security en gebruiksvriendelijkheid niet lekker samen. Ten tweede brengt het extra kosten met zich mee.“

    “Security problematiek leeft blijkbaar nog niet genoeg bij mensen. Mede aan ons om erop te blijven hameren.”

    Helemaal mee eens. Als ik zelf in dit soort situaties kom, dan denk ik aan Bob Martin. Hij predikt al tijden dat we als software engineers verantwoordelijkheid moeten nemen waar we dat van onze opdrachtgevers en (project) managers niet altijd kunnen verwachten. Hij zegt:

    “[They] will ask us to do things we know we aught not do,
    they will give us dates that we know are impractical,
    they will surprise us with solutions we believe are not appropriate.

    Say NO! I’m a professional.”

    De software ontwikkelaar van dienst had dit moeten herkennen als onprofessioneel. Hij had moeten aangeven dat de oplossing onacceptabel is en niet voldoet aan de eisen die hij stelt als professional. De echte professional stelt dan natuurlijk wel verbeteringen voor die de oplossing tot een acceptabele maken 😉

  2. Hans Keizer says:

    Wat een wijze woorden over security, Tim! Dagelijks komen de problemen in het nieuws, terwijl ik weet uit de praktijk dat de meeste lekken het nieuws niet eens halen…. Daarom zijn we ook als een van de weinige partijen in Nederland vol in security testen gestapt. Door onze geautomatiseerde security test zijn de kosten ook erg laag, geen drempels / excuses meer om je applicatie neer meer te testen.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *