Snelheid vs. kwetsbaarheden
30 May 2020
Door: Daan Vellinga
Begin april 2020 kondigde de overheid aan dat er apps zouden worden gaan ingezet voor het verzamelen van gegevens over de uitbraak van COVID-19. Ik was persoonlijk meteen net zo bang voor de verspreiding van zo’n app als voor de verspreiding van het coronavirus. Zeker toen er hints werden gegeven over de snelheid waarmee de software klaar voor gebruik moest zijn.
Sommige organisaties die ik ken hebben het als core business om software te bouwen. Sommige van de projecten die ze doen zijn routinematig, het eindresultaat is technisch steeds een simpele app die alleen qua inhoud en vormgeving uniek is. “Snel” zo’n simpele app opleveren betekent dan alsnog dat het ontwikkeltraject minstens weken duurt. Dat is maar goed ook, want we zien een duidelijk omgekeerd verband tussen hoe zorgvuldig, methodisch er aan software wordt gewerkt en het aantal kwetsbaarheden wat we erin vinden.
Conceptmatig is het al een moeilijke vraag: ontwikkel een app die medische persoonsgegevens deelt met iedereen die ze nodig heeft, en bewaak de anonimiteit van iedere gebruiker. En rap een beetje. Daarbij komen nog alle kwaliteitsaspecten die vaak impliciet worden vereist, zoals:
- De app moet niet kunnen worden gebruikt om toegang te krijgen tot andere systemen.
- Het systeem moet kunnen omgaan met kwaadaardige of foutieve invoer, en daarmee niet onderzoeksresultaten (te veel) verstoren.
- Alleen de juiste mensen moeten toegang kunnen krijgen tot de (minimale) onderzoeksgegevens.
- Het ontwikkelproces en het beheer van de app en de gekoppelde systemen moeten veilig zijn.
Even een app verspreiden om COVID-19 in kaart te brengen (als een soort Faalkaart voor Corona?) lijkt gemakkelijk. Vergis je niet, ik zie het belang van zo’n hulpmiddel zeker. Het ontwikkelen van software is echter iets waar je je gemakkelijk in kunt verslikken, zeker als de veiligheid van zoveel mensen op het spel staat.
De bottom line
wees realistisch over de snelheid van een ontwikkeltraject, en neem daarin mee dat tijdsdruk en beveiliging op gespannen voet met elkaar staan. Besteed alsjeblieft voldoende zorg en aandacht aan de veiligheid van je apps, van ontwerp tot end-of-life.
Kennis- en samenwerkingsdag Gemeentelijke OT
Onlangs hebben we een succesvolle OT Kennissessie georganiseerd met een sterke opkomst van ISO’s en CISO’s. Dit was een kans om strategische inzichten te delen en te leren van…
Lees meer
Samenwerking VEST en NET2GRID leidt tot ISO 27001-2022 Certificering
Afgelopen periode heeft NET2GRID met succes wederom haar certificering behaald en nu tegen de ISO 27001:2022 norm, met ondersteuning van VEST. Al jarenlang werken NET2GRID en…
Lees meer
Waarom koos Isala Ziekenhuis voor de samenwerking met Vest?
Door: Marcom Voor het Isala ziekenhuis (Zwolle/Meppel) lag er een duidelijke opdracht. Net als alle andere ziekenhuizen moest Isala voldoen aan de eisen van de NEN7510. In het…
Lees meer
