Skip to main content

Woningcorporaties zijn druk met huurdersportalen. Wanneer huurders zelf hun zaken kunnen regelen via een huurdersportaal, snijdt het mes aan twee kanten. Er wordt een kostenbesparing gerealiseerd en huurders krijgen meer gemak en mogelijkheden. Dat klinkt als een win-win situatie. Het gebruik van een huurdersportaal brengt echter ook veiligheidsrisico’s met zich mee.

Functionaliteit versus veiligheid

Bij de ontwikkeling wordt veel aandacht besteed aan de functionaliteit. Huurders moeten er tenslotte gemakkelijk gebruik van kunnen maken. Dat neemt niet weg dat zowel u als de huurder er alle belang bij heeft dat huurdersgegevens niet toegankelijk zijn voor onbevoegden. Een adequate beveiliging is minstens zo belangrijk. U moet er niet aan denken dat deze gegevens toegankelijk zijn voor anderen. Het zou desastreus zijn voor het gebruik van het huurdersportaal, om over imagoschade nog maar te zwijgen. Bij de ontwikkeling van portalen moet daarom specifiek en in een vroeg stadium aandacht besteed worden aan beveiliging. Ook bij het gebruik van een “standaard” huurdersportaal dat leveranciers “out of the box” leveren.

Beveiligingsfouten

Bij de ontwikkeling van een huurdersportaal doet de leverancier er goed aan om rekening te houden met een handige checklist: de OWASP top 10. Met deze checklist heeft everancierhij inzicht in de tien meest kritieke beveiligingsfouten van webapplicaties. We raden u aan om bij uw leverancier te eisen dat deze checklist wordt gehanteerd. Naast het gebruik van deze top 10 is het verstandig om regelmatig te testen of de beveiliging van uw huurdersportaal nog voldoende is. Kijk daarbij ook naar de beveiliging van de webservices van uw primaire bedrijfsinformatiesysteem. Gespecialiseerde bedrijven kunnen dit doen door bijvoorbeeld een penetratietest uit te voeren. 

Social engineering

Een andere manier waarop onbevoegden toegang kunnen krijgen tot huurdersgegevens, is via ‘social engineering’. Hierbij wordt geprobeerd om gevoelige informatie te ontfutselen door zich voor te doen als iemand anders en door gebruik te maken van geloofwaardige details, zoals de namen van collega’s of huurders. Om ons tegen social engineers te wapenen, zijn bewustzijnscampagnes voor medewerkers nodig. Maak medewerkers bekend met de manier van werken van social engineers en zorg voor een meldpunt. Deel de kennis en stel maatregelen op om te voorkomen dat social engineers hun slag slaan. 

Informatiebeveiliging

Het periodiek toetsen van de beveiliging van het huurdersportaal en de periodieke bewustwordingscampagnes, zijn voorbeelden van maatregelen van informatiebeveiliging. Het mag duidelijk zijn dat informatiebeveiliging geen eenmalig project is, maar een doorlopend proces. Het heeft niet alleen betrekking op ict-medewerkers, maar gaat iedere medewerker aan. Als informatiebeveiliging nog niet op de managementagenda staat, wordt het tijd om hier aandacht aan te besteden.

Leave a Reply