ID: S202512081305
Status: school
Tags: Security
avans 2-1 gastcollege security 08-12-2025
Secure by design, vanaf het begin expliciet, systematisch en integraal beveiliging meenmenen in het ontwerp.
De basis van secure by design zit in het stellen van doelen en accepteren van opgelegde doelen:
- Wetgeving (AVG)
- Regelgeving (NIS2, SURF IBHO normenkader)
- Avans beleid / intenr beleid van het bedrijf waar je werkt.
Alle hogescholen moeten voldoen aan het hoogste niveau aan beleid volgens de NIS2.
Security requirements, dat zijn non-functional requirements gericht op:
- Authentication & Authorization
- Logging & Monitoring
- Input validation
- Encryption
- Error-Handling
- Privacy-eisen (DPIA, dataminimalisatie)
Think like an attacker
- how can I abuse functionality
- example: as a student, how could I manipulate my grades by sending API requests to Osiris
STRIDE Het STRIDE model helpt je na te denken over beveiligings risico’s bij een app:
https://en.wikipedia.org/wiki/STRIDE_model
Quote
It is a game of cat and mouse
What does Avans:
- Voortraject
- Product Risico Analyse
- Veilige ontwikkelstraten
- Operationeel Beheer
things to check before avans requests new software:
- whats the goal
- does it include AI
- Security risk assasment
- privacy risk assesment
- How do you want functional management
Security risk assesment:
- wie is er formeel eindverantwoordelijk
- zijn er bekende beveiligingsproblemen met het aangevraagde systeem
- wie gaat er toegang krijgen tot het systeem?
- is er logging en monitoring op toegang tot het systeem
- wat gebeurt er a;s er toch iets mis gaat?
Privacy risk assesment
- is het een gevoelig proces?
- zit er gevoelige data in? toetsresultaten, persoonsgegevens, financiele data
DPIA - data protection impact assesment (GDPR in engels), bekijk het vanuit het risico oogpunt. hoe groot is de kans en wat is de impact?
copilot kwam er niet goed uit in de DPIA xD. Microsoft kon geen inzicht geven over welke data waar gebruikt wordt etc.
voor ieder nieuwe feature doet het avans ook een risico analyse: Product Risico Analyse.
- wat willen we realiseren
- wat kan er mis gaan? wat is de impact?
- welke maatregelen nemen we? en dat voor alle soorte risicos: functioneel, preformance, dataveiligheid etc.
(het is een standaard risico analyse)
Welke risicos zijn er:
- Mens, inschatten wat eindgebruikers aankunnen en hen niet meer verantwoordelijkheid geven dan ze anakunnen
- Systeem, ontwikkelstraat inrichten om risicos efficient ana te kunnen pakken
- Beheer, systemen zo ontwikkelen en inkopen om tijdens hun levenscyclus veilig en betrouwbaar blijft
Een veilige ontwikkelstraat:
- is up-to-date
- is voor iedereen het zelfde
- is niet afhankelijk van 1 persoon
- is idere dag werk (de veilige omgeving van vandaag is jouw beveiligingsplek van morgen)
- is 24/7/365. hackers houden van weekeinden, feestdagen en vakantieperiodes.
- begint bij afspraken, guidelines en best practices. heeft een centrale plek waar dit vindbaar is, een centrale wiki zegmaar.
avans gebruikt react en NextJs voor avans one
secure by desing, wat doet avans
- multi factor authentication
- gebruik SSO
- beveiligde communicatie bij gegevensuitwisseling
- beveiliging van hostomgeving
- beveiliging vna hostomgeving
- beveiliging van code repositories
automatishce beveiligheids scanning bij CICD, denk bijv aan OWASP Dependency Checker. Doe Peer reviews. Statische code analyse.
OWASP, hulpmiddelen van ontwikkelaars voor ontwikkelaars.
Avans gebruikt alleen de CI en niet de CD van CICD
Accepteren dat het mis gaat:
- weten wat je moet doen als het mis gaat en dat snel kunnen doen is noodzaak, dat betekent oefenen.
- Servers snel af kunnen schakelen
- wachtwoorden kunnen wijzigen
- backups terug kunnen zetten
- logging en monitoring hebben zodat het achterhaald kan worden.
Continuous improvement;
- regelmatig kijken of wat je doet de juiste manier is. Kijnen of je het juiste berijkt. kijken of er nieuwe wetgeving is. etc.
Controle en toezicht:
- Pentesting, controleren of het wel zo veilig is als je denkt.
- Audits, controleren of processen en werkwijzen op orde zijn.