Winkelmand

Geen producten in je winkelwagen.

Gevaren van webapplicaties

Het klinkt verleidelijk: altijd uw kantoorapplicaties bij de hand dankzij internet. Maar is het ook veilig?

Gevaren van webapplicaties
Je leest nu: Gevaren van webapplicaties

Was u tot voor kort bijna volledig aangewezen op software die u moest installeren, tegenwoordig barst het van de webapplicaties: computerprogramma’s die volledig via internet werken.

 

Maar is het verstandig ze te gebruiken? Zoals altijd is er geen tekort aan beveiligingsbedrijven die met indrukwekkend klinkende statistieken u bang proberen te maken – en hun diensten te verkopen. Zo stelt een in maart gepubliceerd rapport van het bedrijf White Hat Security dat liefst 63 procent van alle websites beveiligingskwetsbaarheden bevat.

 

Dergelijke cijfers zijn misleidend. Veiligheidsonderzoeken gooien vaak alle websites op één grote hoop. Terwijl websites die cruciale kantoorapplicaties aanbieden, hun beveiliging meestal beter op orde hebben. Toch zijn er een aantal vragen die u moet beantwoorden voordat u webapplicaties in uw bedrijf gaat inzetten.

 

1. Waarom zou ik überhaupt online webapplicaties gaan gebruiken?

Een belangrijk voordeel van online applicaties is dat u overal kunt werken waar internet is. U bent dus niet langer afhankelijk van de software die toevallig op een bepaalde pc of laptop aanwezig is. En omdat u in veel gevallen ook uw producties online kunt opslaan, hoeft u niet na te denken of u die ene USB-stick met belangrijke bestanden wel bij u hebt. Vanzelfsprekend bent u platformonafhankelijk: een website maakt het niet uit of uw computer op Windows, OS X of Ubuntu draait.

 

Ook heeft u geen last van het moeten installeren van updates. De software die u gebruikt, staat immers bij de online aanbieder en wordt daar centraal onderhouden. Backups worden eveneens (vaak) door de aanbieder gemaakt, die vanzelfsprekend ook verantwoordelijk is voor de beveiliging. Kortom, al het onderhoudswerk wordt voor u gedaan.

 

Daarnaast zijn nogal wat online diensten gratis beschikbaar. De aanbieder verdient dan zijn geld meestal met de verkoop van advertenties. Ondermeer Google Apps hanteert deze methode. Eveneens populair is het aanbieden van twee varianten: een uitgeklede, gratis, versie en een betaalde, maar fors uitgebreide, dienst.

 

Tot slot: online applicaties zijn eenvoudig schaalbaar. Dat is handig voor kleine bedrijven die van plan zijn groot te groeien. Krijgt u er medewerkers bij, dan hoeft u alleen uw abonnement uit te breiden, en niet allerlei extra apparatuur te kopen.

 

2. Welke aanbieders zijn er?

Waar het tien jaar geleden nog een hele toer was om een online rekenmachine te bouwen, kunt u nu vrijwel alles in een internetapplicatie: van een documentje tikken tot het bewerken van een foto. Een geenszins uitputtende lijst met voorbeelden:

 

Complete online kantoorpakketten:

  • Google Apps (in feite Google Docs inclusief de mogelijkheid uw e-mail onder uw eigen domeinnaam af te handelen)

 

Projectmanagement:

 

Spreadsheet:

 

Kalender:

 

Foto’s bewerken

 

Online boekhoudpakketten

Overzicht te vinden via http://www.boekhoudpakket.in-research.info/

 

3. Welke beveiligingsgaranties krijg ik?

Over het algemeen geldt: hoe goedkoper de dienst, hoe minder recht van spreken u heeft (of krijgt) als er iets fout gaat.

 

Een goed voorbeeld is Google Apps, het online alternatief van Google voor Microsoft Office en Exchange. Met Apps kunt u niet alleen brieven schrijven en presentaties maken, maar ook uw e-mail afhandelen en uw agenda bijhouden.

 

Apps is in verschillende varianten verkrijgbaar. De standaardversie is gratis. Voor de Premium-versie moet 40 euro (exclusief BTW) per jaar per gebruiker betaald worden. In ruil voor dat bedrag krijgt u niet alleen meer opslagruimte voor uw mails, maar ook extra beveiligingsfunctionaliteit en een zogeheten SLA.

 

Een SLA is een Service Level Agreement, oftewel een document waarin afspraken worden gemaakt over uw rechten en de plichten van uw leverancier. In het geval van Google Apps verplicht Google zich ondermeer om ervoor te zorgen dat de dienst 99,9 procent van de tijd functioneel is.

 

Toen Google in februari 2009 leed onder een grote storing, werden dan ook alleen gebruikers van de betaalde versie van Google Apps schadeloos gesteld. Oftewel: wie betaalt, kan eisen stellen.

 

4. Hoe beoordeel ik de beveiliging van een webdienst?

U heeft de tijd niet om elke online applicatie eerst uitgebreid te gaan testen op veiligheidslekken. Maar het is wel mogelijk om met het aflopen van deze eenvoudige checklist een inschatting te maken van de risico’s.

 

A. Wat voor data ga ik aan de dienst toevertrouwen?

Het spreekt voor zich dat het online bewerken van foto’s voor uw bedrijfsbrochure minder risico’s met zich meebrengt dan het via internet bijhouden van uw boekhouding. De foto’s zijn immers uiteindelijk toch voor publiek gebruik bedoeld, maar de buitenwereld kan wel slapen om uw grootboekgegevens. Laat staan eventuele vertrouwelijke contracten of dossiers die u op een website opslaat. Kortom, wees zo streng als het te bewaken materiaal verlangt.

 

B. Lees de algemene voorwaarden

In de algemene voorwaarden, of ‘terms of service’, staat welke verplichtingen u en de aanbieder van de websiteapplicatie tegenover elkaar hebben. Let met name op gedeeltes over aansprakelijkheid (‘liability’), beveiliging en privacy. Belooft de aanbieder zorg te dragen voor een veilige dienst en de vertrouwelijkheid van uw gegevens? Maakt hij regelmatig backups? Of ontbreken dergelijke bepalingen en staat het document in plaats daarvan vol met zinnen in de trant van ‘Als het fout gaat, is onze naam haas’?

 

C. Let op het type verbinding

Wilt u belangrijke data opslaan, zorg er dan voor dat u via een zogeheten TLS-verbinding contact kunt maken met de betreffende webapplicatie. Een dergelijke verbinding is beveiligd. U herkent deze aan een slot-icoontje in uw browser en de tekst “https” aan het begin van uw adresbalk.

 

Tip: sommige webapplicaties, zoals de bedrijveneditie van Google Apps, bieden de mogelijkheid om het gebruik van een beveiligde verbinding af te dwingen. Handig als u er zeker van wilt zijn dat ook uw medewerkers prudent met uw kostbare informatie omgaan.

 

D. Deugt de wachtwoordcontrole?

Een lakmoesproef voor het veiligheidsbesef van een aanbieder is diens omgang met wachtwoorden. Als u bij het registreren voor de betreffende dienst een wachtwoord kunt instellen dat makkelijk te raden is, zoals ‘muis’, kunt u beter gelijk wegwezen. Natuurlijk zegt dit simpele testje niet alles, dus kijk ook vooral naar het volgende punt.

 

E. Wat vinden derden?

Zoek in nieuwszoekmachines als http://news.google.com/news?ned=us of de applicatie die u wilt gaan gebruiken, in het nieuws is geweest. Eveneens nuttig is de zoekfunctie op de site van OWASP, een nonprofitorganisatie die zich ten doel heeft gesteld webapplicaties veiliger te maken. U kunt via OWASP ook deskundigen vinden die u wellicht willen helpen met specialistische vragen. Vanzelfsprekend kunt u eveneens de zoektips gebruiken uit het artikel over open source en veiligheid.