Afgelopen jaar hebben verschillende personen geprobeerd de systemen van Minddistrict binnen te komen. Kwaadaardige hackers? Nee, security-consultants die onze systemen binnenstebuiten hebben gekeerd, op zoek naar veiligheids- en designfouten.
“Op ons verzoek hebben ze geprobeerd om van buitenaf ‘ongeautoriseerde toegang’ te krijgen tot het Minddistrictplatform, maar dit is niet gelukt. Naast deze zogenaamde black-box-penetratietests hebben zij crystal-box-tests uitgevoerd, met volledige toegang tot de broncode van de applicaties,” vertelt Sil Westerveld, securityspecialist bij Minddistrict. “Ze hebben een analyse uitgevoerd op kwetsbaarheden in het platform. Zo konden ze zo veel mogelijk beveiligingslekken en designfouten opsporen.”
“Webapplicatie goed, firewall excellent”
Wat bleek? Met de veiligheidsrisico’s viel het mee. Op de geteste onderdelen – mobiele apps, de webapplicatie plus API, en de firewalls, – scoorde het systeem 5/7, oftewel ‘good’. Bij de hertest, uitgevoerd binnen 90 dagen, werd de webapplicatie zelfs met 6/7 beoordeeld en de firewalls met 7/7 (‘excellent’). Elk onderdeel was verbeterd, concludeerde NCC Group.
“Het veiligheidsniveau is hoger dan je meestal ziet in het marktsegment waarin Minddistrict actief is,” aldus het eindrapport.
Hoewel de meeste gerapporteerde dingen direct al zijn verbeterd, waren er enkele verbeterpunten waar wat meer tijd voor uitgetrokken moest worden. Deze verbeteringen worden op korte termijn uitgerold, zodat ook onze webapplicatie en API op het niveau van 7/7 uitkomen. Minddistrict laat dit soort veiligheidstests periodiek uitvoeren; een volgende keer wordt dit dus getoetst.
Security-expert Sil verklaart de hoge scores voor de firewalls op de hertest. “We hebben de instellingen verder verfijnd. We leggen daarbij niet alleen inkomend verkeer restricties op, maar zijn ook streng op verkeer van ons platform naar buiten toe.”
Strikte eisen nodig voor optimale veiligheid
Waarom is dat belangrijk? “Vanuit ons platform kun je niet naar elke internetserver. Strikt, maar nodig voor een optimale veiligheid. Als een hacker namelijk een kwetsbaarheid zou vinden in ons systeem kan hij bijvoorbeeld proberen om dat uit te buiten en kwaadaardige code naar onze systemen te downloaden, of onze data naar zichzelf te versturen.”
Daarnaast zijn onder andere de VPN-verbindingen naar onze klanten gefinetuned, zodat er geen verouderde beveiligingstechnieken worden gebruikt om verbindingen te versleutelen. Bij telefonische nabesprekingen met NCC Group kregen we te horen dat onze firewalls ‘military grade’ zijn geconfigureerd, met een precisie die zelfs door NCC Group niet vaak gezien wordt.
Security by design
“Al bij het ontwerpen van ons platform hebben we veiligheid continu in ons achterhoofd: security by design, noemen we dat,” vertelt Sil. Hij voelt zich niet alleen verantwoordelijk voor de beveiliging van het systeem, maar ook voor de veiligheid van de gebruiker. Zij moeten er immers blindelings op kunnen vertrouwen dat ons systeem uitsluitend op de veiligste manier gebruikt wordt.
En hoe reageren die gebruikers? Sil glimlacht. “Als je dit soort dingen goed doet, merken gebruikers er niets van. En dat is maar goed ook."