Databeveiliging en privacy bij een app: hoe zit dat?

Een recent voorbeeld is die van de BankGiro-, Postcode- en Vriendenloterij, waarbij de gegevens van 450.000 personen op straat zijn gekomen. Dit lek kwam voort uit een slechte beveiliging van een derde partij en laat maar weer eens zien hoe kwetsbaar systemen kunnen zijn. Wat kun je als organisatie doen om dit datalekken te voorkomen en wat doe je als het onverhoopt toch gebeurt?

Met ingang van 1 januari 2016 is de meldplicht datalekken van kracht gegaan. Dit houdt in dat alle organisaties, zowel bedrijven als overheden, direct melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek ontdekken.

We spreken van een datalek als er een inbreuk is op de beveiliging van de persoonsgegevens. Verdere specificaties van de Wet bescherming persoonsgegevens vind je hier.

Ook de Europese Unie heeft niet stilgezeten en komt anno 2018 met een nieuwe set privacyregels. Zo kunnen er boetes worden uitgedeeld aan ondernemingen die niet zorgvuldig omgaan met hun klantgegevens. Zo'n boete kan oplopen tot vier procent van de jaaromzet. Daarnaast gaat de EU het moeilijker maken om data buiten Europa te exporteren.

Ook moeten ouders voortaan toestemming gaan geven voor jonge gebruikers (13 tot 16 jaar) voor het delen van hun data.

Om jouw onderneming niet hetzelfde lot als van de eerder genoemde loterijen te laten ondergaan, doe je er goed aan om als onderneming (en consument) bewust bezig te zijn met de beveiliging van belangrijke en privacygevoelige data. We hebben een aantal tips op een rijtje gezet om je op weg te helpen:

• Laat een app alleen data versturen via een versleutelde verbinding (SSL/HTTPS). Een SSL verbinding versleutelt de gegevens tussen verzender en ontvanger, wat het voor derden onmogelijk moet maken om deze gegevens in te zien. Wil je extra zeker zijn pas dan ook SSL pinning toe waardoor een man-in-the-middle-attack veel moeilijker wordt.
• Zorg ervoor dat op het toestel gegevens beveiligd en versleuteld worden opgeslagen.
• Bepaal welke onderdelen vanuit de OWASP Mobile App Security Checklist relevant zijn en controleer deze regelmatig.
• Ook aan de achterkant van de app (API/webservices) dient de beveiliging in orde te zijn, controleer deze aan de hand van de OWASP Web Application Security Cheat Sheet.

Daarnaast zijn er een aantal open deuren die we niet vaak genoeg kunnen herhalen.

• Zorg overal voor unieke en sterke wachtwoorden van minimaal 12 karakters. (Tip: maak een wachtwoord veilig én makkelijk met een wachtzin)
• Update alle software tijdig en consequent. Oudere versies met bekende problemen zijn een gemakkelijke prooi voor hackers en kwaadwillenden en worden dan ook regelmatig gebruikt om toegang tot systemen en data te krijgen.
• Zorg dat alle medewerkers zich bewust zijn van het belang van een goede IT- beveiliging en hier secuur mee omgaan. Niet alleen servers en werkplekken, maar ook persoonlijke devices moeten goed zijn afgeschermd van de buitenwereld. Helaas komt het in organisaties nog te vaak voor dat het personeel - bewust of onbewust - de zwakste schakel in de beveiliging is.

Als beveiliging voor jouw app echt een ding is dan kun ook een stap verder gaan in het beveiligen van gegevens. Er zijn een aantal manieren waarop je een extra beveiligingslaag kunt toevoegen:

• Gebruik maken van tweestapsverificatie (2FA). Zo bescherm je iedere inlogpoging met een unieke inlogcode. Een bekend voorbeeld hier van is de Google Authenticator. Ook de Raboscanner, waarmee klanten van Rabobank hun digitale handtekening kunnen zetten valt hieronder. Andere (meer geavanceerde) opties zijn bijvoorbeeld een irisscan of vingerafdrukscanner zoals TouchID van Apple.
• Vertrouw op encryptie. Encryptie maakt data, commmunicatie en code onleesbaar voor derden op het moment dat deze worden geupload. Deze data is alleen terug te krijgen met behulp van de juiste encryptiesleutels. Zorg dat deze nooit in de buurt komen van je data en maak (indien van toepassing) duidelijke afspraken over het beheer hiervan met je cloudprovider.
• Maak gebruik van Machine Learning. Machine Learning kan zichzelf in de loop van de tijd het gedrag van alle medewerkers aan leren. Op het moment dat er een niet legitieme handeling wordt verricht, merkt het systeem dit op en geeft hier een melding van. Vragen die het systeem zich bijvoorbeeld stelt zijn: Vindt deze activiteit binnen of buiten werktijd plaats? Wordt dit device herkend? Is dit een werkgerelateerde actie?

Voor alle bedrijven is het beveiligen van data relevant. In de toekomst zal de impact en het risico van slechte databeveiliging alleen maar duidelijker worden omdat hackers vaak al lichtjaren voor lopen ten opzichte van de maatschappij. Besteed daarom continue aandacht aan databeveiliging en inventariseer risico's door kritische vragen te stellen over welke data je gaat bewaren, waar je deze bewaart en waarom. Wees je bewust van het risico dat je loopt als jouw app data lekt. Als ervaren app ontwikkelaar denken we graag mee over hoe je zo goed mogelijk beschermt blijft.