Data via webapplicaties

nov 9, 2017 | Dossier Veiligheid

App, website of webapplicatie?

Worden via uw website, app of applicatie persoonsgegevens ingevoerd? Kunnen er donaties worden gedaan? Vinden er transacties plaats, of worden er medische gegevens gevraagd? Bent u een overheid?

Kunt u één van deze vragen met ‘ja’ beantwoorden, dan is het goed om te weten dat u verantwoordelijk bent voor de veiligheid van die gegevens.

Maatregelen

Als organisatie kunt u verschillende maatregelen nemen om uw sites, apps en applicaties veilig te houden. Wij adviseren echter om te beginnen met te kijken naar de infrastructuur.

Een oplossing om het online veiliger te maken, kan namelijk met een zogenaamde ‘reverse proxy’. Dit houdt in dat verkeer via internet niet direct op de server komt waarop de applicatie draait, maar op een proxyserver. Deze is speciaal gebouwd om bedreigingen via internet te weerstaan. Dit wordt ook wel een Hardened Appliance genoemd.

Maatregelen

Als organisatie kunt u verschillende maatregelen nemen om uw sites, apps en applicaties veilig te houden. Wij adviseren echter om te beginnen met te kijken naar de infrastructuur.

Een oplossing om het online veiliger te maken, kan namelijk met een zogenaamde ‘reverse proxy’. Dit houdt in dat verkeer via internet niet direct op de server komt waarop de applicatie draait, maar op een proxyserver. Deze is speciaal gebouwd om bedreigingen via internet te weerstaan. Dit wordt ook wel een Hardened Appliance genoemd.

Met een verbinding die tweemaal langs de firewall gaat, heeft u ook nog eens meer grip op het netwerkverkeer.

U kent het wel; SSL

Mede doordat Google de eisen aan veilig webverkeer aanscherpt, heeft het SSL-certificaat grote bekendheid gekregen. Websites waar gegevens kunnen worden verstuurd, en die géén SSL-certificaat hebben worden door Google Chrome zelfs aangeduid als mogelijk onveilig. Bij het installeren van een dergelijk certificaat moet u wel de volgende aandachtspunten volgen:

  • Onveilige SSL-versies uitgeschakeld op de webserver/ reverse proxy?
  • Minimale ‘key lengte’ 2048 Bits?
  • Welke Cipher suites? Zwakke uitgeschakeld?
  • Intermediate/ root certificaten goed geïnstalleerd?

Security headers

U kunt een website tevens beter beveiligen met
security headers. De browser vraagt deze headers op wanneer een pagina wordt ingeladen. In de headers wordt aangegeven hoe met de inhoud van de pagina omgegaan moet worden. Zo kunt u met een simpele aanpassing de site bijvoorbeeld beveiligen tegen het stelen van gegevens via clickjacking.

Controleren

Controleer uw website op juist gebruik van SSL: website https://ssllabs.com/ssltest en security headers: https://securityheaders.io