Security

Het informatiebeveiligingsbeleid van AFAS is erop gebaseerd dat alle informatie die klanten via AFAS Online toevoegen of genereren aan de systemen van AFAS Online optimaal beschermd is.  AFAS Online hanteert een ‘defense in depth’ strategie: Er zijn meerdere beveiligingslagen van toepassing. Mocht één van de lagen falen, dan zal de volgende laag bescherming bieden. Hiermee wordt de beschikbaarheid, integriteit en vertrouwelijkheid (de drie basisprincipes van informatiebeveiliging) van de applicatie gewaarborgd. Daarnaast worden er geautomatiseerde aanvallen gedaan en controles uitgevoerd rop bekende kwetsbaarheden. Verschillende externe partijen voeren hiervoor Security tests bij AFAS uit. Dit wordt gedaan door middel van onderzoek waarbij wordt aangetoond of een systeem kwetsbaar is voor aanvallen en wat daarvan de mogelijke impact is.

Computest

Het bedrijf Computest heeft alle tests uitgevoerd vanaf haar eigen IP-adressen. Deze informatie is bruikbaar wanneer systeembeheerders willen controleren of bepaalde aanvallen zijn opgemerkt door bijvoorbeeld intrusion detection systemen of in logbestanden terecht zijn gekomen. Bij de tests is gebruik gemaakt van geautomatiseerde en handmatige controles. In de appendices is ruwe uitvoer van geautomatiseerde controles opgenomen. De aangetroffen kwetsbaarheden zijn door Computest voorzien van een kwetsbaarheidsscore. Hiervoor wordt gebruik gemaakt van het Common Vulnerability Scoring System (CVSS), versie 2. Meer informatie over dit scoresysteem is te vinden op http://www.first.org/cvss/. Iedere kwetsbaarheid kan een score tussen de 1 en 10 krijgen, waarbij 10 de ernstigste kwetsbaarheid aangeeft. Aan het eind van het rapport worden de kwetsbaarheden gesorteerd en op score weergegeven waardoor direct inzichtelijk is welke technische impact de verschillende kwetsbaarheden hebben. Dit kan als uitgangspunt dienen bij het vaststellen van prioriteiten bij het oplossen van de kwetsbaarheden.

Fox IT 

Fox-IT is onderdeel van de NCC Group, wereldwijd expert in cybersecurity en het beperken van cyberrisico’s. Steeds meer organisaties, overal ter wereld, beseffen dat een pro-actieve aanpak van cybersecurity nodig is. Nu er steeds meer internettechnologieën worden ontwikkeld, beschikken geraffineerde cybercriminelen, terroristen en overheden over steeds meer mogelijkheden voor misbruik. Fox-IT investeert continue in het verbeteren van haar producten en diensten, waardoor hun klanten altijd tegen nieuwe dreigingen zijn opgewassen. Ze combineren slimme ideeën met technologie en maken zo innovatieve oplossingen die bijdragen aan een veilige maatschappij. Intelligence is de key factor in alle producten en diensten. De securityspecialisten verzamelen en analyseren 24 uur per dag en 7 dagen per week informatie over de nieuwste dreigingen. Ze beschikken daardoor over een van ’s werelds meest geavanceerde Security Operations Centers (SOC).

Scope

De scope van deze testen verschilt ieder jaar. Voorgaand aan elke test wordt de scope uiteengezet voor een volledige benadering van de te testen aspecten. De scope wordt beschreven in de rapportages.

Uitkomsten van de testen

De uitkomsten van de testen worden teruggekoppeld en indien er aspecten worden gevonden, dan worden deze natuurlijk opgelost. Zodra dit is opgelost wordt dit weer getest, net zo lang tot dat de oplossing gevonden is. Uit veiligheidsoverwegingen worden de detailresultaten uit deze tests niet openbaar gemaakt. Omdat we met Computest een complete test doen voor alle onderdelen van de AFAS applicatie, zijn deze opgenomen in één rapport. (De gepubliceerde rapporten zijn geschoond van detailinformatie omdat er vertrouwelijke zaken in staan.) 

Voor de AFAS Online Megatest 2023 kan hier het rapport worden gedownload.
Voor de AFAS externe infrastructuur en het interne netwerk kan hier de managementsamenvatting van het rapport van Fox-IT worden gedownload.