Security

Het informatiebeveiligingsbeleid van AFAS is erop gebaseerd dat alle informatie die klanten via AFAS Online toevoegen of genereren aan de systemen van AFAS Online optimaal beschermd is.  AFAS Online hanteert een ‘defense in depth’ strategie: Er zijn meerdere beveiligingslagen van toepassing. Mocht één van de lagen falen, dan zal de volgende laag bescherming bieden. Hiermee wordt de beschikbaarheid, integriteit en vertrouwelijkheid (de drie basisprincipes van informatiebeveiliging) van de applicatie gewaarborgd. Daarnaast worden er geautomatiseerde testaanvallen gedaan en controles uitgevoerd rondom bekende kwetsbaarheden. Onze partner Computest voert op dit vlak Security tests en assessments voor ons uit. Dit wordt gedaan door middel van onderzoek waarbij wordt aangetoond of een systeem kwetsbaar is voor aanvallen en wat daarvan de mogelijke impact is.

Computest

Het bedrijf Computest heeft alle tests uitgevoerd vanaf haar eigen IP-adressen. Deze informatie is bruikbaar wanneer systeembeheerders willen controleren of bepaalde aanvallen zijn opgemerkt door bijvoorbeeld intrusion detection systemen of in logbestanden terecht zijn gekomen. Bij de tests is gebruik gemaakt van geautomatiseerde en handmatige controles. In de appendices is ruwe uitvoer van geautomatiseerde controles opgenomen. De aangetroffen kwetsbaarheden zijn door Computest voorzien van een kwetsbaarheidsscore. Hiervoor wordt gebruik gemaakt van het Common Vulnerability Scoring System (CVSS), versie 3. Meer informatie over dit scoresysteem is te vinden op http://www.first.org/cvss/. Iedere kwetsbaarheid kan een score tussen de 1 en 10 krijgen, waarbij 10 de ernstigste kwetsbaarheid aangeeft. Aan het eind van het rapport worden de kwetsbaarheden gesorteerd en op score weergegeven waardoor direct inzichtelijk is welke technische impact de verschillende kwetsbaarheden hebben. Dit kan als uitgangspunt dienen bij het vaststellen van prioriteiten bij het oplossen van de kwetsbaarheden.

Scope

De scope van deze testen verschilt ieder jaar. Voorgaand aan elke test wordt de scope uiteengezet voor een volledige benadering van de te testen aspecten. De scope wordt beschreven in de rapportages.

Uitkomsten van de testen

De uitkomsten van de testen worden teruggekoppeld en indien er aspecten worden gevonden, dan worden deze natuurlijk opgelost. Zodra dit is opgelost wordt dit weer getest, net zo lang tot dat de oplossing gevonden is. Uit veiligheidsoverwegingen worden de detailresultaten uit deze tests niet openbaar gemaakt. Omdat we met Computest een complete test doen voor alle onderdelen van de AFAS applicatie, zijn deze opgenomen in één rapport. (De gepubliceerde rapporten zijn geschoond van detailinformatie omdat er vertrouwelijke zaken in staan.) 

Voor de AFAS Online Megatest 2023 kan hier het rapport worden gedownload.
Voor de AFAS IT infrastructuur kan hier de third party mededeling van Computest worden gedownload.

Zelf een security test uitvoeren

In het geval je een security test op je eigen omgeving wil uit (laten) voeren, dan is er de mogelijkheid om dit zelf op eigen kosten te organiseren. Bij voorkeur stemmen we dat in goed overleg met elkaar af, maar dat is niet onder alle condities verplicht. Bekijk voor meer informatie over het zelf uitvoeren van security testen ons Responsible Disclosure beleid.