Security van bij de bron
Beveiliging is een speerpunt bij de productontwikkeling van Axiell. Het toegepaste beveiligingsbeleid heeft diverse pijlers:
- Security is bij R&D een constant aandachtspunt in de Product Life Cycle (dus van design, tot coderen, testen en installeren toe) om proactief security-kwetsbaarheden te voorkomen.
- PEN-testen: dit omvat zowel regelmatige interne tests als rapportages van klanten.
- Regelmatige security patches, waarin aantoonbare kwetsbaarheden zijn opgelost; afhankelijk van de urgentie vormen deze een aparte service patch, of worden ze onderdeel van een volgende versie.
- Deelname aan evenementen met “ethische hackers” (zie hierna “Hack The Hague” als voorbeeld)
- In een cloudomgeving worden de ter zake doende normen, standaarden en leidraden toegepast; doorgaans uit zich dat in het overleggen van een ISO27001-certificaat.
Waar mogelijk is het beveiligingsbeleid Axiellbreed en overstijgt het dus individuele producten.
“Hack The Hague”
Hack The Hague is een jaarlijks terugkerend evenement waarbij de stad ethische hackers uitnodigt om haar applicaties te hacken. Den Haag nodigde ook de leveranciers van applicaties uit deel te nemen en zo nauwer samen te werken met de hackers om zo tijdens het evenement gevonden hacks te helpen oplossen. Omdat de stadsbibliotheek V-smart, Iguana en V-insight gebruikt, was ook Axiell uitgenodigd.
De hackers ontvingen alleen de start-URL’s van de drie applicaties, maar bijvoorbeeld geen inloggegevens. Vanwege de aard van onze applicatie-URL’s heeft de organisatie gevraagd of de reikwijdte zou kunnen worden uitgebreid naar niet alleen de applicatie-URL’s, maar ook de basisdomeinnamen (d.w.z. de webroot). Wij hebben hiermee ingestemd, omdat het beter is informatie over een potentieel beveiligingsprobleem van een ethische hacker te ontvangen dan om een daadwerkelijke aanval af te moeten handelen. Uiteindelijk zijn er geen meldingen binnengekomen die gerelateerd waren aan de verbrede reikwijdte.
Met betrekking tot onze applicaties hebben we vijf unieke rapporten ontvangen (die gekwalificeerd werden met de prioriteit “laag” of “medium”), waarvan er aan het eind van de dag vier als opgelost werden bevestigd door de hacker die het probleem rapporteerde. Het vijfde probleem is enkele dagen eveneens opgelost. Alle oplossingen zullen uiteraard in onze software worden geïntegreerd.
Hack The Hague was een interessante en ook gezellige dag. De gemeente Den Haag verdient lof voor het organiseren van een dergelijk evenement. Dit soort initiatieven komen alle gebruikers van de software ten goede: Axiell wekt hier samen met hackers en niet tegen hen. Zo verbeteren we onze software voor alle gebruikers.
Hier vindt u een korte samenvatting van de organisatie: https://www.hackthehague.com/update/dit-was-hack-the-hague-2.