Home » Corona | KPMG: beveiliging corona-apps onder de maat

Corona | KPMG: beveiliging corona-apps onder de maat

Nieuws

20 april 2020 door Accountancy Vanmorgen

Accountancy Vanmorgen

KPMG heeft in opdracht van het ministerie van VWS onderzocht hoe het staat met de beveiliging van zes apps die mogelijk ingezet gaan worden bij het in kaart brengen van de verspreiding van het coronavirus. De conclusie: geen van de apps heeft de beveiliging op orde.

Het kabinet wil onderzoeken of met apps kan worden bijgehouden wie er besmet is, wat de bron is geweest en met wie de patiënt allemaal contact heeft geweest. Daarvoor moet worden bijgehouden waar iemand is geweest en dat leidde tot zorgen over de privacygevoeligheid van zulke apps. De apps zijn daarom afgelopen weekend getest tijdens een zogeheten ‘appathon’. KPMG heeft een uitgebreide lijst opgesteld met beperkingen van het onderzoek naar de beveiliging van de apps, onder meer door de korte tijdspanne waarin het onderzoek moest worden gedaan. Er waren zeven apps voor de test aangemeld, maar van de zevende leverancier is niet de benodigde informatie ontvangen.

Ernstige kwetsbaarheden

Problemen zijn onder meer dat de ontwikkelaars over het algemeen geen ‘secure coding’-principes toepassen, ‘waardoor algemeen bekende en dus te verwachten beveiligingsmaatregelen niet zijn geïmplementeerd’. ‘Dit is ook van toepassing voor de achterliggende infrastructuur (misconfiguraties, verouderde software, beheerinterfaces exposed, etc.). Hierdoor ontstaan (ernstige) kwetsbaarheden die eenvoudig voorkomen hadden kunnen worden.’ Wachtwoorden zijn leesbaar opgenomen in de leesbare broncode. ‘Het is gebleken dat met deze wachtwoorden toegang kon worden verkregen tot databases en/of de achterliggende infrastructuur (inclusief datasets buiten het domein van de te testen COVID-applicatie).’

Beveiliging eenvoudig te omzeilen

Die achterliggende infrastructuur kan bij veel apps al misbruikt worden zonder benodigde identificatie of authenticatie, zag KPMG. ‘Daar waar wel een beveiliging is toegepast is deze vaak eenvoudig te omzeilen door kwetsbare implementatie, of het niet of niet goed valideren van bijvoorbeeld beveiligingscertificaten, of het gebruik van self-signedcertificates. Hierdoor kan veelvuldig toegang worden verkregen tot vertrouwelijke data en/of kan foutieve data worden opgevoerd.’ Bovendien wordt data zonder versleuteling opgeslagen.

Lees het rapport van KPMG

Tags: Corona en sectornieuws, Coronavirus, KPMG, privacywetgeving

Gerelateerde artikelen

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Cookies
Om u beter van dienst te kunnen zijn, maakt Accountancy Vanmorgen gebruik van cookies. Klik op instellingen om de cookie instellingen te wijzigen.
  • Functionele cookies zijn noodzakelijk voor de werking van deze website.
  • We gebruiken Google Analytics, netjes geanonimiseerd.
  • We gebruiken de marketing cookies om gepersonaliseerde advertenties te tonen.

Instellingen