Nu we deze week gezien hebben dat we niet alleen de schuld bij de website eigenaren neer kunnen leggen maar zelf ook onze verantwoordelijkheid moeten nemen, sluiten we de week af met de richtlijnen voor webapplicaties. Daar kun je als consument misschien wat minder mee, maar voor alle website eigenaren geldt dat de ogen geopend moeten worden.
Het Nationaal Cyber Security Centrum heeft ICT-beveiligingsrichtlijnen voor webapplicaties uitgegeven. De beveiligingsrichtlijnen voor webapplicaties van het NCSC vormen een leidraad voor het veiliger ontwikkelen, beheren en aanbieden van webapplicaties en bijbehorende infrastructuur (bron).
Nu zouden we natuurlijk kunnen denken dat geen enkele website eigenaar aan dergelijke richtlijnen kan voldoen. Hij of zij heeft een geweldig idee en ontwikkelt daar een mooie website bij. Toegegeven, dat behoort inderdaad tot de mogelijkheden. En eerlijk gezegd hoop ik dat dergelijke innovators inderdaad niet direct gegrepen worden door een hacker.
Maar bedenk ook dat veel, reeds bestaande organisaties, de weg naar het internet gevonden hebben. Deze maken de website niet op een zolderkamertje maar hebben er een afdeling voor zitten of besteden het uit aan een gespecialiseerd bedrijf. Voor die gevallen kunnen we beveiligingsrichtlijnen wel degelijk in de ontwikkeling worden meegenomen.
Alleen moeten we dan beseffen dat we niet voor een dubbeltje op de eerste rang kunnen zitten. Ontwikkelen kost nu eenmaal geld en veilig ontwikkelen kost nu eenmaal nog wat meer. Maar een van de functionele eisen die je aan de opdrachtnemer mee kunt geven is dat de webapplicatie aan richtlijnen van het NCSC moet voldoen. Voldoet het niet? Dan nemen we het niet in beheer en krijgt de opdrachtnemer niet betaald. Klinkt hard, maar zo simpel zou het kunnen zijn.
Ja, natuurlijk schrijf ik: zou het kunnen zijn. Ik besef me ook wel dat de commercie nu eenmaal vaker de overhand heeft dan de beveiliging. We moeten zo snel mogelijk met onze site online en als daar de beveiliging voor moet wijken, dan is dat maar zo. Klinkt ongeloofwaardig? Ja, ben ik met je eens. In dit geval maakt men tenminste nog een bewuste keuze voor een lager niveau van beveiliging. In het merendeel van de gevallen staat men nog helemaal niet stil bij de beveiliging.
Ach, zolang zowel de opdrachtgever als de opdrachtnemer voor het ontwikkelen van een website nog de Euro-tekens in de ogen hebben, zal beveiliging altijd het ondergeschoven kindje blijven. Jammer, maar voorlopig waarschijnlijk wel de waarheid.
Maar zeg niet dat je niet gewaarschuwd bent en zeg niet dat er geen hulpmiddelen aanwezig zijn, want die zijn er genoeg. We moeten ze alleen willen ontdekken en we moeten accepteren dat het veilig ontwikkelen van nieuwe applicaties nu eenmaal wat langer duurt en wat meer kost. Doen we dat niet dan zijn we “Penny wise, pound foolish” en kunnen we er bijna op wachten tot we gegrepen worden.
Wie weet: binnenkort naast een Thuiswinkel.org keurmerk ook een NCSC-keurmerk? Ik kijk er naar uit.