Naam: Derk Yntema
Kennisinstelling/bedrijf/instantie: SeByDe BV
Thema: 8. Secure design and engineering
Uitwerking van uw projectidee, probleemstelling of onderzoeksvraag:
Mijn naam is Derk Yntema ik ben mede eigenaar van SeByDe BV. De naam SeByDe staat voor Secure By Design. Wij hebben de visie dat systemen, van SCADA systemen tot complexe business applicaties, van beleid tot de operatie, van directie tot mensen op de vloer, pas veilig zijn op het moment dat zij zijn ontworpen, gebouwd en opgeleid met security in het voorhoofd. Veilig gedrag, houding en motivatie moet een tweede natuur worden net zoals het wegrennen voor een leeuw, het stoppen voor een stoplicht of het creëren van leuke, effectieve en gemakkelijke applicaties.
Volgens onderzoek van TNO loopt Nederland 10 tot 30 miljard euro schade op door Cybercrime, 10 procent daarvan is gericht op web applicaties. Banken doen ons geloven dat de schade die zij oplopen slechts 34 miljoen euro per jaar is. En de schade op web applicaties blijft groeien, de criminele hacker ziet dat via dit applicaties de toegang tot de infrastructuur van bedrijven gewoon open ligt. Poort 80 en 443 staan immers altijd open, B2B applicaties gaat men van uit dat ze veilig zijn. Dus richten de hackers zich op toegangsmogelijkheden via deze applicaties en maken misbruik van onveilige functionaliteit.
En toch, worden de meeste investeringen gedaan in het beschermen van de periferie. Chinese muren, firewalls, web application firewalls, ids, ips, etc. Maar het veilig zijn en veilig maken van applicaties wordt vergeten. We weten allemaal wel dat het Internet groeit, er wordt steeds meer business gedaan, niet alleen Business to Consumer maar steeds meer ook Business to Business. Dus ook de activiteiten van de hackers zal groeien. En zolang wij onveilige applicaties hebben en blijven bouwen zal dit ook heel lucratief blijken te zijn.
Dus wat doen we, we sporen op, we bestraffen, we repareren achteraf. Maar tot mijn verbijstering wordt er in het onderwijs bar weinig gedaan aan preventie door programmeurs te leren hoe veilig te ontwerpen en maken van software. Op de universiteiten wordt er mondjesmaat aandacht besteed aan veilige systemen bouwen, prof. Jacobs in Nijmegen, prof. Prins in Tilburg, de TU Delft. Op het HBO en zeker op het MBO, waar onze toekomstige programmeurs vandaan komen wordt nul aandacht besteedt aan veilig coderen. Tot onze schrik is de OWASP onbekend bij deze groep. En als er aandacht wordt besteed aan security, dan krijgen zij een cursus “hoe kan ik hacken” maar niet “hoe moet ik veilig coderen”. In onze dagelijkse praktijk treffen wij web applicaties aan met honderden kwetsbaarheden als het gaat om SQL-injectie en XXS, 60 % van alle kwetsbaarheden.
De activiteiten van SeByDe leunen op 3 pijlers:
- De Organisatie; Het verbeteren van ontwikkelprocessen en organisaties;
- De Mensen; Kweken van bewustzijn en inzicht bij mensen in de organisatie
- De Techniek; Door assessments op het gebied van security en privacy.
Wij hebben daarvoor een aantal diensten in de markt gezet. Een web applicatie scan en een penetratietest van netwerken en systemen waarbij wij inzicht verschaffen in kwetsbaarheden, de manier waarop deze misbruikt kunnen worden en hoe deze te verhelpen. Wij geven trainingen aan het management, de medewerkers en meer specifiek de ontwikkelaars als het gaat om security bewustzijn en veilige systemen maken. Wij scannen en testen organisaties, applicaties, netwerken en systemen op veiligheid en privacy. Tot slot bieden wij bedrijven security scan tools waarmee zij hun ontwikkelproces kunnen verbeteren en uitbreiden en de ontwikkelaars helpen veilige systemen te bouwen.