Security headers en online boekhoudpakketten onveilig?

Enige tijd geleden is in een artikel gesteld dat het niet hebben van security headers zorgdraagt voor onveilige websites. Wij willen deze stelling nuanceren.

Security headers dragen bij aan een veilige website, dat klopt, alleen is dit niet de enige bijdrage. Er zijn veel meer mogelijkheden, net zoals het feit dat het implementeren van security headers alleen, zeker niet zorgt voor een veilige website. Een veilige applicatie vraagt om samenstel van veiligheidsmaatregelen. Vergelijk het met een zwaar slot op de deur maar de ramen en de achterdeur open laten staan. Het claimen dat je een veilige website hebt op basis van het hebben van security headers is niet mogelijk.

HTTP security headers zijn eenvoudig te implementeren en geven de gebruikers van online boekhoudsoftware meer zekerheid en beveiliging. Er is dus geen enkele reden om hier geen gebruik van te maken.
Wellicht is het opnemen van een security header niet veel werk, maar het garanderen dat alle toepassingen met alle browsers daarna nog goed werken is wel enorm veel werk. Daarnaast geldt dat dit slechts één van de technologieën is en in geen verhouding staat tot een aantal andere belangrijke maatregelen voor een veilige website daarom is deze stelling dus ongenuanceerd.

Is securityheaders.io de norm?
Er zijn meerdere manieren om een website te beoordelen op veiligheid zie bijvoorbeeld www.internet.nl. Deze site wordt door de overheid gefinancierd en werkt samen met diverse marktpartijen om uitspraak te doen over veiligheid. Belangrijke kanttekening bij dit soort sites: ze doen een uitspraak over de website en niet over een beveiligde boekhoudomgeving. De websites van de aanbieders zijn niet gelijk aan de boekhoudomgeving qua beveiliging; de ingelogde omgeving eist veel hoger niveau van beveiliging.

Gaat Zeker-OnLine deze headers verplichten in haar normenkader?
Zeker-OnLine probeert zo min mogelijk specifieke technologieën voor te schrijven in haar normenkader, omdat deze over het algemeen zeer snel achterhaald zijn door de razendsnelle ontwikkelingen op het gebied van veiligheid.  We beschrijven doelstellingen met maatregelen waarbij altijd het reduceren van de risico’s het uitgangspunt is. Eenmaal per jaar controleert een onafhankelijk en deskundige IT-auditor of de boekhoudomgeving veilig is als geheel onderdeel hierbij zijn pentesten op omgeving. Dit onderzoek vindt plaats over een periode van minimaal 6 maanden.

Ons normenkader is gebaseerd op de richtlijnen voor veilige webapplicaties van het National Cyber Security Center. In deze richtlijnen zijn een aantal beveiligingsmaatregelen voor de http header opgenomen, deze worden eind van het jaar overgenomen in ons normenkader. Ter vervanging van andere maatregelen. Voor een aantal http headers uit deze test die niet zijn opgenomen in de richtlijnen voor veilige webapplicaties zullen we overwegen deze technologieën toe te voegen omdat ze zeker bij kunnen dragen aan een nog veiligere website.  Maar als enige maatregel zijn ze volstrekt onvoldoende om te zorgdragen voor een veilige webapplicatie.

Conclusie
Zeker-OnLine stelt dat de boekhoudapplicaties van Asperion, Ficsus.nl, Informer, Reeleezee, en Twinfield veilig zijn op basis van een jaarlijks onderzoek over een onderzoeksperiode van minimaal 6 maanden. Een onderzoek dat gedegen plaats vindt op basis van ruim 250 maatregelen!

Deel dit artikel: