Blog Martijn security
door Martijn van den Bergh Blog

Blueriq & Security

Security by design - by Blueriq

Onze klanten stellen de hoogste eisen aan informatiebeveiliging en gegevensbescherming. Beveiliging wordt dan ook binnen Blueriq met de hoogste prioriteit behandeld: beveiliging en bescherming is top-of-mind voor alle ontwikkelaars en testers van Blueriq. Blueriq volgt hierin het gedachtegoed ‘Security by Design’, waarbij er vanaf de ontwerpfase tot en met de realisatie en onderhoud van een dienst, systeem of applicatie nagedacht wordt over de beveiliging van gegevens.

Het ontwikkelen van veilige software is uiterst belangrijk voor organisaties. Met name organisaties in de publieke en financiële sector voelen juridische en financiële druk om de beveiliging van hun (vaak bedrijfskritische) applicaties te garanderen en hebben sterke regelgeving en privacy-eisen om hun data te beveiligen. Onze klanten stellen daarom - terecht - de hoogste security-eisen aan het Blueriq Platform. Daarom behandelen we beveiliging in het breedste perspectief met de hoogste prioriteit tijdens de ontwikkeling en het onderhoud van ons platform. 

Daarnaast hebben we als softwareleverancier en leverancier van consultancy diensten ook bepaalde verantwoordelijkheden (vanuit de wet) en een zorgplicht 1 om zo veilig mogelijk software te maken en onderhouden. Hoe groot deze zorgplicht precies is, verschilt per situatie. Het hangt onder meer af van de omvang van de werkzaamheden. 

Security by Design – 7 gebieden

Om beveiliging en bescherming altijd top-of-mind te houden, volgen we het gedachtegoed ‘Security by Design’. Binnen het gehele proces, vanaf het begin tot en met de operatie, wordt nagedacht over informatiebeveiliging en gegevensbescherming. Om dit te bewerkstelligen en borgen heeft Blueriq 7 geboden vastgesteld waarin security aspecten aan bod komen. Binnen ieder gebied zijn er specifieke tools, technieken en een aanpak ingericht op Security by Design.

Blog Martijn aug 24 afbeelding

Een aantal voorbeelden
Hoe uit zich dat dan in de praktijk?

  • Werken aan de hand van security principles: De Blueriq Platform ontwikkelteams werken al jaren op basis van dit principe. Ontwikkelaars moeten ten alle tijden voldoen aan speciaal opgestelde procedures met daarin security principles. Deze ontwikkelteams zijn multidisciplinaire, zelfsturende teams die gezamenlijk de verantwoordelijkheid dragen over de beveiliging(risico’s). Om beveiliging in een agile proces te bouwen, is het belangrijk om dit te integreren in korte development sprints. Het doel hiervan is om ‘veilige stories’ te implementeren in deze sprints in plaats van beveiligingsmaatregelen aan het einde van een complete (waterval)cyclus toe te voegen. Voorkomen is immers beter dan genezen!
  • Actie op CVE’s: De afgelopen jaren is er een sterke groei te zien in de softwarewereld op het gebied van zogenaamde CVE’s. Deze Common Vulnerabilities and Exposures zijn kwetsbaarheden van software waar misbruik gemaakt van kan worden door kwaadwillenden. De bekendste CVE van afgelopen jaren is er één van de library “Apache Log4j” (CVE-2021-44228 2 + 3) waar heel veel softwareleveranciers (van klein tot enorme enterprise concerns) gebruik van maakten. Gelukkig hadden wij een ander framework in gebruik, maar het maakt wel duidelijk dat we altijd alert moeten blijven en wat onze verantwoordelijkheid is richting klanten. We hebben daarom onze klanten ingelicht en gevraagd het maatwerk bij en van de klant te controleren. Alle componenten en libraries in ons Blueriq Platform worden daarom continue gemonitord op CVE’s.
  • Maatwerk ter ondersteuning van wetgeving: Ook worden er specifieke out-of-the-box zaken ontwikkeld die de business engineer of klant kunnen ondersteunen bij het voldoen aan bepaalde wetgeving. Zo kan een business engineer tijdens het bouwen van een oplossing – in het kader van AVG/GDPR - naast de 'explain text' (waarin we uitleggen wat je als gebruiker moet invullen), een 'clarification' aan onze velden toevoegen. In de clarification beschrijf je als gebruiker waarom bepaalde gegevens gevraagd worden en wat er mee wordt gedaan.  “Waarom vraag ik dit gegeven van je en wat ga ik hiermee doen?”
  • Bewustzijn vanaf dag één: Ook Blueriq’ers bij de klant zijn vanaf dag één bewust van dit gedachtegoed, zodat ze hier ten alle tijden rekening mee kunnen houden. Dit kan zich op een aantal manieren uiten, zoals bijvoorbeeld geen onbeveiligde API endpoints definiëren in Blueriq, de infra beveiligen, zodat alleen de juiste mensen/systemen toegang krijgen, toepassen van wachtwoord encryptie, etc. Uiteraard nemen we hier de klant en onze partners in mee, zodat iedereen het gedachtegoed van Security by Design hoog in het vaandel heeft.

Dit zijn enkele voorbeelden hoe we als Blueriq beveiliging en bescherming implementeren in de ontwikkeling, realisatie en onderhoud van Blueriq (Platform) oplossingen. 

1 Zie onder: wetboek artikel 7:401 op wetten.overheid.nl

2 CVE-2021-44228 op National Vulnerability Database of the US government nvd.nist.gov

3 Nationaal Cyber Security Centrum van het Ministerie van Justitie en veiligheid over de kwetsbaarheid van Apache Log4j

 

Meer weten?

Wil je meer weten over Security bij Blueriq? Neem dan contact op met Martijn of vul het algemene contactformulier in.

Contact Martijn Contact
Martijn
van den Bergh
Chief Architect