Cybersecurity in de praktijk: Hoe we de 'Tool Gedragsverandering Bedrijven' veiliger maakten.

Cybersecurity is een essentieel onderdeel van digitale innovatie. De Tool Gedragsverandering Bedrijven helpt bedrijven inzicht te krijgen in gedragsverandering, maar met het verwerken van gevoelige data komt ook een grote verantwoordelijkheid: beveiliging. Daarom hebben we recent de loginfunctionaliteit en beveiligingsmaatregelen van de tool naar een hoger niveau getild.

In dit artikel bespreken we de belangrijkste beveiligingsmaatregelen die we hebben geïmplementeerd en waarom ze cruciaal zijn voor elke organisatie die met digitale tools werkt.

Sterke authenticatie als basis

De eerste stap in beveiliging begint bij de login. Hier hebben we twee methoden geïmplementeerd:

Single Sign-On (SSO) voor overheidsmedewerkers

Voor medewerkers van rijksoverheidsinstellingen hebben we Single Sign-On (SSO) toegevoegd. Dit betekent dat zij hun bestaande rijksoverheidsaccount kunnen gebruiken om in te loggen. Dit biedt niet alleen gemak, maar ook sterke beveiliging door:

• Multi-Factor Authentication (MFA)
• Sterke wachtwoordvereisten
• Centraal gebruikersbeheer

Dankzij SSO hoeven gebruikers geen nieuwe accounts of wachtwoorden te onthouden, wat het risico op zwakke of hergebruikte wachtwoorden vermindert.

Multi-Factor Authentication (MFA) voor overige gebruikers

Niet iedereen heeft een rijksoverheidsaccount. Daarom hebben we verplichte MFA toegevoegd voor alle andere gebruikers. Dit werkt als volgt:

1. Bij de eerste login krijgen gebruikers een QR-code te zien.
2. Ze scannen deze met een authenticator-app.
3. De app genereert elke 30 seconden een nieuwe 6-cijferige code.
4. Bij elke nieuwe login wordt deze code vereist naast het wachtwoord.

Hiermee wordt een extra beveiligingslaag toegevoegd, waardoor ongeautoriseerde toegang vrijwel onmogelijk wordt.

Bescherming tegen brute force-aanvallen

Hackers proberen vaak toegang te krijgen door automatisch miljoenen wachtwoordcombinaties uit te proberen (brute force-aanval). Om dit te voorkomen, hebben we rate limiting geïmplementeerd:

• Te veel mislukte inlogpogingen? Tijdelijke blokkade.
• Automatische waarschuwingen bij verdachte inlogpogingen.
• Geen onbeperkte wachtwoordpogingen mogelijk.

Dit zorgt ervoor dat aanvallers geen kans krijgen om via geautomatiseerde scripts toegang te verkrijgen.

Sessiebeheer: beveiliging na het inloggen

Niet alleen de login, maar ook het sessiebeheer is cruciaal. Een beveiligde sessie voorkomt dat hackers toegang krijgen tot gevoelige data. Daarom hebben we:

• Veilige tokens die versleuteld worden opgeslagen in de browser.
• Automatische uitschrijving van tokens zodra een gebruiker uitlogt.
• Cookiebeveiliging, zodat tokens niet onderschept kunnen worden.

Pentests: testen, testen en nog eens testen

Om er zeker van te zijn dat de bovenstaande beveiligingsmaatregelen goed worden toegepast, is de tool onderworpen aan pentests. Dit zijn uitgebreide securitytests die worden uitgevoerd door een ethische hacker met als doel kwetsbaarheden in de applicatie te ontdekken.

In dit geval is de tool getest om te voldoen aan de Rijksbrede standaard ‘De richtlijnen voor webapplicaties’, een afgeleide van de Open Web Application Security Project (OWASP) Top 10. De tool wordt pas als écht veilig beschouwd wanneer een positief vrijgaveadvies uit de pentest volgt. Mocht er een kwetsbaarheid worden gevonden, dan wordt deze aangepakt en vindt er een hertest plaats om de beveiliging opnieuw te valideren.

Pentests zijn een waardevol instrument voor elke website of applicatie, ongeacht of er een loginfunctionaliteit aanwezig is. Het is dé manier om ervoor te zorgen dat een digitale oplossing voldoet aan de laatste veiligheidseisen en beschermd is tegen moderne dreigingen.

Hoe goed is jouw applicatie beveiligd?

Cybersecurity gaat niet alleen over techniek, maar ook over bewustzijn en actie. Onze aanpak bij de Tool Gedragsverandering Bedrijven laat zien hoe je een digitale tool veiliger maakt. Maar hoe staat het met jouw applicaties?

✔ Heb jij sterke authenticatie ingeschakeld?
✔ Bescherm je jouw applicatie tegen brute force-aanvallen?
✔ Voer je regelmatig pentests uit?