Brink Software: veilige tools voor de Nederlandse bouw- en infrasector

Een groot deel van de gebouwde omgeving in Nederland - woonwijken, ziekenhuizen, snelwegen, kantoren, bruggen enzovoort - is ooit doorgerekend met de Ibis calculatiesoftware van Brink. De vijftig grootste bouwbedrijven van Nederland gebruiken vrijwel allemaal de Ibis calculatiesoftware voor het specificeren, begroten en administreren van hun projecten. "Aan de bovenkant van de markt zijn we dus goed vertegenwoordigd," zegt manager productontwikkeling Ivo Huizinga. "En daarnaast bedienen we nog een paar duizend mkb-aannemers en zzp'ers in de bouw en infra." Voor die laatste groep is vorig jaar de nieuwe DEDDO-applicatie in de markt gezet. Met zo'n grote en diverse groep gebruikers is de veiligheid van het softwareplatform van het grootste belang.

Brink Veilige Software Voor De Nederlandse Bouw En Vastgoedsector

Security naar een hoger plan

Cybercriminaliteit was in het verleden vooral gericht op grote ondernemingen, maar tegenwoordig zijn ook mkb-ondernemingen steeds vaker doelwit. Uit onderzoek bleek vorig jaar dat zo'n driekwart van de kleinere ondernemingen ooit is aangevallen. "Ik weet dat ook bij ons een keer is geprobeerd in te breken", zegt Ivo. "Gelukkig zonder succes, maar je moet ervan uitgaan dat je een keer de sjaak kunt zijn." Dat security voor Brink dus "superbelangrijk" is wisten ze volgens softwarearchitect Wema Wuyts altijd al. "We weten ook dat we veel zaken al goed op orde hebben. We zijn ISO27001-gecertificeerd en worden jaarlijks hierop ge-audit. Toch zagen we dat we bepaalde aspecten van security nog aan konden scherpen."

In aanvulling op de jaarlijkse penetratietesten die Brink al liet doen werd YieldDD gevraagd om voor alle ontwikkelaars een security training te geven waarin de meest voorkomende veiligheidsrisico's in software worden doorgenomen.

We wilden namelijk meer. Niet alleen reageren op wat er uit de jaarlijkse testen komt, maar security veel meer verankeren in onze manier van werken en in het bewustzijn van onze ontwikkelaars"

legt Ivo uit. Die training mondde uit in een vervolgvraag aan YieldDD: hoe kunnen jullie ons helpen om security naar een hoger plan te tillen?


De voordeur opengezet

De aanpak die daarvoor gekozen werd was een zogeheten code-guided penetratietest. Daarbij gaat het niet alleen om het inbreken zelf, maar wordt ook de voordeur al opengezet. "We hebben Gerben en Ramon [security specialisten van YieldDD] ruim toegang gegeven tot alles wat we hier doen en hoe we dat doen, inclusief de source code van onze applicaties", zegt Wema. De eerste stap in deze test is alleen niet gericht op de code, maar op de ontwikkelteams die verantwoordelijk zijn voor de verschillende applicaties. Op basis van enquêtes en interviews worden de teams doorgelicht en ontstaat in grote lijnen een beeld waar de grootste potentiële veiligheidsrisico's zitten.

Daarna gaat de test gericht de diepte in. De veiligheid van de applicaties en van de manier waarop deze wordt ontwikkeld, getest en vrijgegeven wordt grondig onderzocht. Voor een deel gebeurt dat gestandaardiseerd, aan de hand van een checklist en met gebruik van testtools, maar testers gaan ook af op hun eigen kennis, ervaring en intuïtie om te kijken hoe ver ze door kunnen dringen in de applicaties. Wema herinnert zich hoe Ramon op een gegeven moment "een heel mooie kwetsbaarheid" had gevonden: "Hij was heel diep de code ingedoken, ik kon echt waarderen hoe ver hij was gegaan om te zien wat hij voor elkaar kon krijgen. Heel bijzonder dat je dat kunt. En het mooie was dat Ramon mij direct belde om te zeggen dat hij iets had gevonden, heel goed uit kon leggen wat hij had gedaan en ons overtuigde dat we daar direct iets aan moesten doen."


Een heel goede spiegel

Met uitzondering van een enkele vondst als deze, kwamen uit de test geen grote verrassingen, maar vooral een bevestiging van het beeld dat Brink al had van de veiligheid van zijn software. Ivo:

Toch is het heel waardevol om daar naar te laten kijken door externe specialisten die alleen daar op gefocust zijn. Je krijgt gewoon een heel goede spiegel voorgehouden. Natuurlijk heeft veiligheid ook de aandacht van onze eigen ontwikkelaars, maar zij zijn toch in de eerste plaats bezig met het ontwikkelen van nieuwe functionaliteiten waar onze klanten mee geholpen zijn"


Het Security Gilde

Op de vraag of YieldDD inderdaad heeft kunnen helpen om de softwareveiligheid bij Brink naar een hoger plan te tillen, is het antwoord duidelijk. "Zeker", zegt Wema. "Sowieso zijn er nieuwe kwetsbaarheden aan het licht gebracht, inclusief prioritering en mogelijke oplossingen, zodat we die heel gericht hebben kunnen verhelpen. Ook in onze manier van werken hebben we de nodige aanpassingen kunnen maken, bijvoorbeeld door de rechten en vrijheden van onze ontwikkelaars wat strakker in te regelen." Naast deze min of meer eenmalige maatregelen is de grootste winst volgens Ivo te halen door veiligheid meer "front of mind" te maken in het dagelijkse werk. "We willen dat security minder afhankelijk wordt van momentopnames en reparaties achteraf, maar zorgen dat het vooraf geborgd is in alles wat we doen. Dat draait om de vraag hoe we onze ontwikkelaars nog meer bewust kunnen maken van het belang daarvan. De OWASP-training heeft daar al een basis voor gelegd en met de oprichting van ons Security Gilde willen we dat verder versterken. In dat gilde hebben we mensen die dit onderwerp interessant en belangrijk vinden en daar goed in thuis zijn bij elkaar gebracht om na te denken, ook weer samen met YieldDD, over hoe we ons kunnen blijven verbeteren als het gaat om security."