Visma legt veel nadruk op het leveren van veilige cloudsoftware voor boekhouding, accountancy, financiële administratie, groothandels- en projectadministratie. Het maakte ons nieuwsgierig wat een softwareleverancier eigenlijk moet doen om de boel veilig te houden. Welke programma’s en initiatieven zijn er?

Op globaal niveau worden er vandaag de dag veel meer cyberaanvallen uitgevoerd dan een aantal jaar geleden. Organisaties lijken daardoor bijna niet meer uit te kunnen sluiten dat ze slachtoffer worden van een hack. Cruciaal is dan ook dat de kritieke softwareoplossingen van bedrijven veilig zijn, want daarmee is een deel van de basis op orde. Het maakt cruciale data een stuk veiliger.

Daarnaast moet de software werkend blijven om de bedrijven te laten blijven draaien. Als een gat in bijvoorbeeld groothandels- of administratiesoftware misbruikt wordt, dan kunnen kern bedrijfsprocessen stilvallen en cruciale data op straat komen te liggen.

Van dat cruciale karakter is Visma zich bewust en het beschermt zijn producten daarom “op de best mogelijke manier”. Dat hoorden we recent van Chief Information Security Officer Visma Benelux Cindy Wubben en Director of Security Espen Johansen.

Tip: Visma is de overnamekoning van de Benelux: ‘zetten in op duurzame groei’

Gedeelde verantwoordelijkheid

Als we nog even stil staan bij het bedrijf Visma an sich, dan is het goed om te weten dat Visma eigenlijk uit veel onderdelen bestaat. Hiermee bedoelen we dat Visma een mix aan softwareoplossingen kan bieden doordat de oplossingen vaak zijn overgenomen. Lokale spelers bouwden de software, waarna Visma het wilde overnemen omdat het past bij zijn visie. Vervolgens biedt Visma ondersteuning op het gebied van innovatie en groei, maar ook op securityvlak.

Volgens Visma kunnen alle oplossingen veiliger worden door gebruik te maken van de organisatie in zijn geheel. Binnen Visma zijn allerlei securityteams actief, die gezamenlijk ervoor moeten zorgen dat de security naar een hoger niveau getild wordt. Het idee is dat de securityexperts samen meer kunnen betekenen op veiligheidsvlak, dan dat een Visma-bedrijf voor de overname qua veiligheidsniveau kon realiseren.

Luister ook onze podcast waarin we in gesprek gaan met Wubben en Johansen over security.

Uiteindelijk vindt Visma zichzelf verantwoordelijk voor de data waar het mee in aanraking komt. Dat kan gaan om gegevens die gebruikers met de software genereren, maar ook om Visma-data gerelateerd aan partners, werknemers en investeerders. Deze groepen wil de softwareleverancier van informatie voorzien, om samen weerbaarder te worden tegen cyberaanvallen.

Hiervoor wil Visma de securitycultuur binnen de organisatie optimaliseren. Dat houdt in dat ontwikkelaars broncode testen en gedurende overnameprocessen security meegenomen wordt. Zo worden partijen die op het punt staan te worden overgenomen, beoordeeld op het beveiligingsniveau.

Ook wordt de securitycultuur gewaarborgd door iedere medewerker op het belang van beveiliging te wijzen. Je kan immers heel goede securityexperts in huis hebben, maar als bijvoorbeeld een sales- of HR-medewerker onzorgvuldig omgaat met wachtwoorden of phishingmails, dan zijn er nog enorme risico’s. Zelfs softwareontwikkelaars moeten meegenomen worden in het securityvraagstuk, want zij moeten ervoor zorgen dat de code en de kern van de software veilig zijn.

Wubben geeft aan dat Visma op jaarbasis dan ook 12 miljoen euro uitgeeft aan de securityprogramma’s, exclusief personeelskosten. Om dat in perspectief te plaatsen: vorig jaar boekte Visma meer dan 600 miljoen euro omzet per kwartaal.

Applicatiebeveiligingsprogramma

Een van de programma’s die daadwerkelijk aan de basis staat van de beveiliging, heet het Visma Application Security Program (VASP). Dit programma vertrouwt op standaarden binnen de industrie en best practices. Het security-programma is ontworpen om alles te ondersteunen en het juiste niveau van beveiliging te bereiken. Een bedrijf dat wordt overgenomen moet het security-programma implementeren. De maatregelen die een overgenomen partij al genomen heeft, staan daar los van. De implementatie van het programma met een bedrijf dat al een hoge security maturity heeft, gaat vaak sneller.

Het doel is om de managing director, security officers en alle andere betrokkenen in staat te stellen elke dag de beste security-beslissingen te laten maken. Dit gebaseerd op data en transparantie. Het programma is risico-gebaseerd. Afhankelijk van de risico’s van de applicatie kan het programma worden aangepast, zoals de risico’s van on-premises of de risico’s van de soort data.

Tip: Visma neemt het Belgische Teamleader over

Threat intelligence

Een groot deel van het securitywerk gaat ook zitten in het opbouwen van een verdediging tegen cybergroepen en staatshackers op basis van de laatste ontwikkelingen. Om dat te realiseren worden voortdurend diepe analyses uitgevoerd. Johansen zegt hierover dat het grotendeels gaat om het monitoren van de activiteiten van de cybercriminelen. Op basis daarvan zijn volgende stappen van de hackers te voorspellen. “Het biedt ons een hoop informatie die we verspreiden onder onze bedrijven en diensten”, aldus Johansen. Deze informatie wil Visma ook democratiseren, oftewel naar het brede publiek brengen. De informatie blijft dus niet geheim, maar moet er juist voor zorgen dat de maatschappij in zijn geheel weerbaarder wordt.

Johansen geeft aan dat veel van de informatie gewoon afkomstig is uit openbare bronnen. Als voorbeeld noemt hij een landkaart van Oekraïne met daarop de activiteiten van vliegtuigen geprojecteerd. Je kan dan duidelijk zien dat er weinig activiteit is, maar dat er wel veel gevaren zijn in het land. De informatie geeft een indicatie dat er in dit land gevaren zijn, wat ook een cyber threat kan zijn. Dat maakt het input voor het cyberlandschap.

Bug bounty programma

Hoewel het testen van software en inbouwen van securitymechanismes, standaarden volgen en informatie delen veel kan betekenen, zijn er altijd nog kansen dat fouten in de software onopgemerkt blijven en in productie terecht komen. Daarom heeft Visma een bug bounty programma opgesteld. Hiermee daagt het ethische hackers en securityonderzoekers uit om gaten in de beveiliging te vinden. Als ze die vinden, kunnen ze die bij Visma melden. Vervolgens looft Visma op basis van het kritieke karakter van de bug een beloning uit en probeert het zo snel mogelijk met een patch te komen. Op die manier kan voorkomen worden dat hackers een gat in de security eerder vinden dan de ‘goede kant’.

Visma heeft hiervoor een lijst met eisen opgesteld, om aan te geven wat bug bounty-deelnemers wel en niet moeten doen. Een bug die doorgegeven wordt, kan over het algemeen binnen twee dagen een reactie verwachten. Het doel is om binnen 90 dagen met een oplossing te komen. Deze werkwijze heeft tot nu toe tot meer dan 500 ingediende vondsten geleid. Daarvan accepteerde Visma ongeveer de helft.

Een veilige basis

Veilige bedrijfssoftware is ten eerste te realiseren door de basis veilig te maken. Het wil zeggen dat de code en het kernproduct veilig moet zijn. Daar hecht Visma waarde aan door software te onderzoeken en beoordelen. Het volgt ook standaarden om een bepaald niveau na te streven.

Anderzijds zijn threat intelligence en bug bounty-programma’s cruciaal voor veilige software. Zo wil Visma zoveel mogelijk voorkomen dat de nieuwste aanvalstactieken succesvol een aanval uitvoeren op bedrijfssoftware. Dit is helaas niet helemaal uit te sluiten, maar Visma stelt er alles aan te doen om de kans zo klein mogelijk te maken.

De totaalaanpak zorgt er dan ook voor dat Visma met heel veel vertrouwen kijkt naar de veiligheid van zijn producten. “Ik denk dat de manier waarop wij het doen echt veel toegevoegde waarde heeft voor onszelf en voor onze klanten”, concludeert Wubben.