‘Creating code is creating reality’. Softwareontwikkelaars bepalen de kwaliteit van de digitale wereld waarin we leven. De code die zij schrijven en hun manier van werken zijn bepalend voor onze veiligheid en privacy, maar ook voor aspecten zoals ons energiegebruik. Om deze reden gaat Rob Havermans, CISO bij Aegon, graag het gesprek aan met developers. Waar ligt hun verantwoordelijkheid?
Tijdens de Developers Summit op 23 juni verzorgt Rob een talk in de Privacy & Security-track. “Wat ik wil, is een tegengeluid bieden en een appèl doen op ontwikkelaars. Niet omdat ik vind dat zij hun werk niet goed doen - integendeel - maar om op een leuke en constructieve manier in gesprek te gaan over wat hun verantwoordelijkheid is.” Als CISO is Rob verantwoordelijk voor de informatiebeveiliging bij Aegon in Nederland. In die rol stuurt hij een team van cybersecurity-professionals aan. “Digitale weerbaarheid is steeds belangrijker. Hoe zorg je ervoor dat je dienstverlening overeind blijft in een omgeving vol dreigingen?”
Eisen stellen aan privacy en security
Gelukkig zijn er nog maar weinig mensen te vinden die cybersecurity niet belangrijk vinden, constateert Rob. Alleen is het wel een complex onderwerp, en dat schrikt af. “Vraag maar eens aan een cybersecurity-expert om in vijf minuten samen te vatten tegen welke dreigingen we ons moeten wapenen; meestal lukt dat niet.” Door parallellen te trekken met de fysieke wereld probeert de CISO een brug te slaan tussen het werk van deze specialisten en developers in zijn organisatie. “Je gaat ook geen bankgebouw ontwerpen met daarin dertig buitendeuren. Je kunt weliswaar proberen om het gebouw achteraf te beveiligen, maar het blijft kwetsbaar. Developers werken aan de digitale realiteit. Naast de functionele eisen die bij een project worden gesteld, moeten ook alle niet-functionele zaken inherent veilig zijn. Als we geen eisen stellen op het gebied van privacy en security, hebben we een groot probleem.”
Wat is veilig?
Als het gaat om eisen aan veiligheid, wordt al snel de vraag gesteld wat veilig is. “Bij software voor het verwerken van betaalopdrachten horen andere eisen dan bij een webplatform voor een retailer of een voorraadsysteem. De basis blijft echter dat je voldoende veiligheid inbouwt en daarvoor is een bepaalde grondhouding nodig. Het gaat over de kwaliteit van code, het toetsen daarvan en de manier waarop je je werk doet. Developers zoeken vaak naar vrijheid in hun werk, bijvoorbeeld in de keuze voor hun tooling. Maar als je allerlei snippets van het internet trekt en soms niet eens weet wat je hergebruikt, levert ontwikkelen risico’s op.”
Bij Aegon Nederland, waar tientallen developers intern werken en men ook veel externe teams inzet, worden daarom duidelijke afspraken gemaakt. “Voor onze interne gebruikers werken we met generieke platformen waar developers verschillende producten in kunnen ‘hangen’. We bieden bijvoorbeeld verzekeringen, pensioenen en hypotheken. Dat kun je als gebruiker allemaal via één platform inzien. Dat is prettig, maar door hergebruik van componenten en het op één plek bewaren van gegevens is het ook veiliger.”
Vragen stellen en afspraken maken
Het denken in platformen en hergebruik van componenten is niet heel revolutionair, stelt Rob. “Het is vrij logisch om dit te doen, want het biedt veel voordelen. We scannen veel op kwetsbaarheden door opgeleverde code door een soort ‘scanning-machine’ te halen en waar nodig te corrigeren. Dat gebeurt echter allemaal achteraf. De grote winst zit bij shift security left. Hoe eerder in de pijplijn developers security intrinsiek meenemen, hoe beter. Dat betekent echter wel dat je een bepaalde mindset nodig hebt, in plaats van dat je het onderwerp als een last ervaart.”
Het is overigens niet zo dat developers er helemaal niet mee bezig zijn, voegt de informatiebeveiligingsexpert toe. “Maar er is natuurlijk wel een schifting, waarbij de één op dit gebied wat bewuster is dan de ander. Wat ik die laatste groep zou willen vertellen, is dat veel dingen helemaal niet zo moeilijk zijn. Je kunt automatiseren, je kunt standaard componenten maken en deze hergebruiken. Daar moet je goede afspraken over maken en je moet het organiseren. Welke frameworks gebruik je? Hoe ziet je datamodel eruit? Welke persoonsgegevens leg je vast en waar sla je ze op? En moet je ze ook al in de ontwikkel- en testomgeving gebruiken? Allemaal zaken waar je op kunt letten.”
Het gaat allemaal terug naar de broncode
“Ik zou graag zien dat developers meer gaan nadenken over de compute power die minimaal nodig is om hun code te draaien”
Naast privacy en security is ook duurzaamheid een aspect waarbij developers een grote rol kunnen spelen. “Ook daar ligt een verantwoordelijkheid. Veel systemen lopen over van rekenkracht en je kunt er bij wijze van spreken een raket mee naar de maan sturen. Ik zou graag zien dat we samen met developers meer gaan nadenken over de compute power die minimaal nodig is om hun code te draaien, en over datamodellen; waar moet data staan en kun je dataverkeer beperken? Ik wil op de Developers Summit de gelegenheid aangrijpen om ook dit te pitchen. Mijn verhaal gaat over security en privacy, maar de verantwoordelijkheid van de developer gaat nog verder. Het gaat allemaal terug naar de broncode.”
“Als je slim nadenkt over security en het zoveel mogelijk automatiseert, hoeft het geen ballast te zijn”
Rob beseft dat zijn verhaal voor in ieder geval een deel van de developers-community ‘preaching to the choir’ is. “Ik zal vast van veel mensen horen dat zij hier allang mee bezig zijn. Maar ik weet dat er ook developers zijn die shift security left zien als ballast, waardoor zij hun werk niet goed kunnen doen. Daar heb ik begrip voor, maar wat mij betreft kom je wel altijd uit bij shift security left. Zeker als je slim nadenkt over security, dit zo vroeg mogelijk in het proces uittekent en het zoveel mogelijk automatiseert, hoeft het geen ballast te zijn. In ieder geval is het een stuk effectiever dan dat je achteraf van alles moet gaan herstellen aan je code. Om terug te komen bij het voorbeeld van het bankgebouw: je kunt sloten op al die dertig deuren hangen, maar het blijven toch echt dertig deuren. Het had dus echt veiliger gekund, door daar eerder over na te denken.”
Ben je developer en/of wil je meepraten over security tijdens de Developers Summit op 23 juni? Check dan snel het programma en reserveer direct je plek voor het event!
Dit artikel is geen redactioneel artikel, maar een advertorial en tot stand gekomen dankzij Aegon en Tweakers Partners. Dit is de afdeling binnen Tweakers die verantwoordelijk is voor commerciële samenwerkingen, winacties en Tweakers-events zoals Meet-ups, Developers Summit, Testfest en meer. Kijk hier voor een overzicht van alle acties en events. Mocht je ideeën met ons willen delen over deze vorm van adverteren, dan horen wij dat graag. Hierover kun je met ons in gesprek via [Discussie] Reclame algemeen].