Beveiliging bij Byte


Tags: beveiligingSecurity

Een goed beveiligingsbeleid bestaat uit procedures en methoden. Schakels van een systeem zijn namelijk niet alleen servers en netwerkonderdelen, maar ook de mensen die ermee werken. De zwakste schakel in een systeem bepaalt uiteindelijk hoe goed beveiligd deze is. Procedures en methoden verkleinen daarom de kans op technische inbraken als inbraken met behulp van social engineering.

Hoe Byte precies omgaat met haar beveiliging wordt hieronder uitgelegd door een verdeling tussen verschillende maatregelen; Technische maatregelen, Procedurele maatregelen en Praktische maatregelen.

Technische maatregelen

Met technische maatregelen bedoelen we hoe we onder andere ons platform hebben beveiligd en ingericht. Zo worden alle administratieve handelingen uitgevoerd over versleutelde (SSL) verbindingen en gebeurt onderlinge authenticatie tussen onze servers op basis van PKI (Public Key Infrastructure).

Byte’s platform en wachtwoorden

Elke website gehost door Byte draait met afzonderlijke proces- en eigendomsrechten. Hierdoor zijn de applicaties en data van onze klanten strikt gescheiden. Wachtwoorden van klanten slaan wij niet op, alleen een versleutelde representatie ervan. Mocht een hacker er in slagen in te breken op de applicatie van een individuele klant, dan geeft dit geen risico voor onze overige klanten en heeft deze ook geen toegang tot de wachtwoorden van onze klanten.

De netwerkarchitectuur van ons platform kent meerdere lagen. Onze database servers en fileservers zijn afgeschermd. Mocht een kwaadwillige proberen in te breken dan zal diegene door twee lagen (firewalls, webservers) moeten breken om bij de gegevens te komen.

Hackerslayer en FTP Virusscan

De door Byte ontwikkelde tool Hacker Slayer controleert regelmatig op verdachte processen. Deze processen worden ´gekilld´. Zodra dit gebeurt ontvangt Byte een e-mail en wij onderzoeken of een website is gehackt of niet. Wanneer een website gehackt wordt deze offline gehaald en ontvangt de beheerder hierover bericht.

De FTP virusscan die ook door Byte is ontwikkelt voorkomt dat geïnfecteerde bestanden worden geupload. Alle bestanden die door een FTPcliënt worden geupload worden gescand op bepaalde virusdefinities. Als er zo’n verdachte definitie wordt herkend in een file, wordt deze geblokkeerd en dus niet op de server geplaatst.

Uitgaande spamfilter

Omdat het vaak voorkomt dat er misbruik wordt gemaakt van mailservers hebben we een spamfilter ingesteld die spam tegenhoudt en het mailaccount waarvan de spam komt blokkeert. De reden waarom er spam is verstuurd kan varieren. Zo kun je gebruik maken van een contactformulier op je site waar misbruik van is gemaakt. Het kan ook zijn dat jijzelf een mailtje hebt verstuurd wat per ongeluk is tegengehouden. In het ergste geval is je site gehackt en wordt er op die manier misbruik gemaakt van je site.

Wanneer we e-mails tegenhouden stellen we je altijd op de hoogte hiervan. Je ontvangt ons een bericht met informatie over de hoeveelheid en welke e-mails er zijn tegengehouden.

Procedurele maatregelen

Byte houdt nauwgezet publicaties van beveiligingslekken in de gaten. Intern heben we richtlijnen opgesteld waarmee we de kans op exploitatie van een eventueel lek en de impact hiervan inschatten. Zijn beide factoren hoog? Dan wordt het lek direct gedicht. Indien dit niet het geval omdat de oplossing bijvoorbeeld conqequenties heeft voor onze klanten, plannen we dit in en communiceren we dit naar alle betreffende klanten.

Voor iedere wijziging van site-, email- en klantgegevens en domeineigendom vereist Byte authenticatie met behulp van een wachtwoord of een schriftelijk en ondertekend bewijs van goedkeuring. Hier zijn we bijzonder streng in om fraude en identiteitsdiefstal te voorkomen!

Scans op ons platform

Wij scannen reactief onze logbestanden op verdachte patronen. Hierdoor zijn wij in staat om in een vroeg stadium misbruik van de bij ons gehoste sites te detecteren. We scannen ook proactief op verouderde software. Hierdoor kunnen we onze klanten waarschuwen indien zij lekke (verouderde) applicaties hebben geïnstalleerd die veiligheid van hun website niet meer kan waarborgen.

Sucuri Security Scan

Sucuri biedt een security dienst aan waarmee je ongeautoriseerde wijzigingen aan je netwerk kan detecteren (o.a. DNS, SSL, Whois etc.) Het wordt ook veel gebruikt om security zwakheden in website te detecteren.

Sucuri is beschikbaar op de Secure, Performance, Optimize en MCU pakketten. Wanneer je een Secure pakket hebt wordt er wekelijks gescand. Grotere pakketten worden dagelijks gescand.

Inhoud van een website

Wanneer er duidelijk illegale content op een website staat (zoals kinderporno), is Byte verplicht de site offline te halen. Wij hanteren hiervoor een zogenaamd ‘notice and take down’ principe, wat inhoudt dat Byte niet zelf actief zoekt naar tekenen van dergelijke content op websites, maar handelt nadat er een melding binnenkomt. Illegale content tegengekomen? Mail ons dan op support@byte.nl .

Het is niet altijd duidelijk of de inhoud van een website illegaal is of niet en Byte is ook niet de partij die daarover kan oordelen. Byte is daarom niet verantwoordelijk voor de informatie die door haar klanten op hun website wordt geplaatst. Wij verwijderen alleen content wanneer de officier van justitie of de rechter-commissaris ons hiertoe verplicht.

Praktische maatregelen

Om onze beveiliging verder aan te scherpen hebben we een aantal praktische maatregelen genomen. Zo is ‘anonymous FTP’ uitgeschakeld. Bij Byte hebben we ervoor gekozen om FTP diensten op een geïsoleerd cluster onder te brengen. Daarnaast kun je ook alleen inloggen d.m.v. een wachtwoord.

Op alle servers zijn overbodige diensten uitgeschakeld. Daarnaast wordt aan de rand van ons netwerk al het inkomende en uitgaande verkeer gefilterd door onze firewall. Alleen noodzakelijk verkeer (web, mail, ftp) wordt doorgelaten naar bepaalde servers.

Administratieve databases zijn volledig afgeschermd van de buitenwereld. Klantspecifieke databases zijn op verzoek te benaderen van buiten het Byte netwerk.

Certificeringen en vragen

Deze maatregelen lijken wellicht strikt en overbodig, maar zijn wat ons betreft absoluut noodzakelijk. Op ons platform worden laboratoriumsystemen, medische toepassingen, financiële applicaties en patiëntendossiers gehost. Je begrijpt wellicht dat wij daarom veiligheid voorop stellen. Een absolute 100% beveiliging is helaas nooit te bereiken, maar we proberen er zo dicht mogelijk in de buurt te komen.

Met deze maatregelen voldoen we voor 100% aan de gangbare certificeringsstandaarden voor beveiliging, zoals PCI-DSS. Byte is inmiddels ISO-27001 gecertificeerd, een internationale standaard voor informatiebeveiliging.

Heb je vragen over ons beveiligingsbeleid? Neem dan contact op via ons contactformulier.

0