Naast alle (zichtbare) verbeteringen en wijzigingen die wekelijks worden doorgevoerd, wordt er op de achtergrond altijd hard gewerkt aan continuïteit en beveiliging.

Hieronder hebben wij een aantal zaken m.b.t. de maatregelen die wij nemen voor security uiteengezet. Bepaalde onderdelen en details kunnen echter niet worden prijsgegeven omdat dit juist van invloed kan zijn op de beveiliging.

Algemeen

Een dedicated team van System Administrators zorgt ervoor dat systemen online blijven, goed werken, backups continu op orde zijn, maar bovenal dat de beveiliging op orde is.

Door altijd up-to-date te blijven qua kennis en techniek worden systemen altijd gemonitord door onze eigen teams en tools en wordt er voorkomen dat er beveiligingsrisico’s ontstaan.

Zo worden netwerk, systemen en verbindingen 24/7 gemonitord op continuïteit en eventuele cyber aanvallen. Naast de expertise die wij zelf in huis hebben, werken wij voor extra zekerheid ook met Fox-IT (een gerenommeerd bedrijf op het gebied van IT beveiliging).

Fox-IT staat altijd stand-by om actie te ondernemen in geval van calamiteiten. Naast de periodieke overleggen en adviezen, monitoren zij onze systemen en netwerken ook 24/7, middels onder andere sensoren en andere tools voor onder andere malicious traffic en exploits.

Ook vinden er penetratietests plaats die enerzijds bevestigen dat wij op veel vlakken de zaken goed op orde hebben en dat er mogelijke risico’s / exploits zijn of kunnen ontstaan op andere vlakken die wij dan direct kunnen aanpakken.

Via Fox-IT maken wij ook gebruik van diensten van WhiteHat. Naast de handmatige (intensieve) penetratietests, kunnen wij middels deze partner continu geautomatiseerde tests uitvoeren om ook in de tussentijd exact inzicht te hebben in de beveiligingssituatie van ons systeem.

Servers

De servers van BaseNet zijn volledig in eigen beheer en zijn ondergebracht in twee fysiek gescheiden en zwaarbeveiligde datacenters in Nederland. Fysieke toegang tot deze servers is alleen mogelijk door enkele specifieke medewerkers die zich of moeten aanmelden bij de beveiliging en/of via biometrische authenticatie. 
De meeste werkzaamheden op de servers kunnen onze System Administrators op afstand doen middels beperkte toegang over versleutelde verbindingen. Om ook dit zo veilig mogelijk te houden is toegang alleen mogelijk vanaf een aantal locaties en de juiste authenticatie. De toegang gebeurt middels 2-way authentication, waardoor het niet mogelijk is om deze servers te benaderen middels enkel gebruikersnaam en wachtwoord.  

Buiten al het scannen en monitoren en alles up-to-date houden, worden er ook vele logs bijgehouden om altijd na te kunnen gaan wat waar en door wie iets is gedaan. Zo worden bijvoorbeeld alle HTTP requests die worden gemaakt op onze webservers gelogd.

Alle data wordt middels versleutelde verbindingen opgeslagen en uitgelezen. Van alle data worden er meerdere malen per dag snapshots en backups gemaakt. De incremental backups worden enkele uren tot enkele dagen bewaard, afhankelijk van het type backup. Tevens staat deze data in twee verschillende datacenters in Nederland. De data van de hoofdservers wordt nagenoeg direct gesynct naar de backuplocatie. Toegang tot deze data is beperkt tot slechts een aantal machines in ons netwerk.

E-mail

Onze mailserver ondersteunen veilige verbindingen. Zo kun er verbonden worden met imaps en imap + STARTTLS als beveiligde verbinding. Verouderde en zwakke SSL protocols (SSLv2, SSLv3) en Ciphers (eg: RC4) worden bewust niet ondersteund om te waarborgen dat beveiligde verbindingen ook echt veilig zijn.

Voor mailservers die e-mail bij ons afleveren, ondersteunen wij tevens beveiligde verbindingen zodat deze niet 'afgeluisterd' kunnen worden. Indien wij zelf e-mail versturen, zullen wij deze ook over een beveiligde verbinding sturen wanneer de ontvangende partij dit ondersteunt.

CRM systeem

HTTP verbindingen naar CRM worden geforceerd over SSL/TLS voor optimale versleuteling en beveiliging. Voor onze (EV) certificaten gebruiken we 4096 bit RSA key met een SHA256 signature. Dit om man-in-the-middle attacks zo goed als onmogelijk te maken.

Om veiligheidsredenen blokkeren wij ook verkeer van bepaalde IP-ranges zoals bepaalde Botnets of verkeer van het Tor netwerk. Dit omdat de meeste cyber aanvallen van deze netwerken zullen komen om zo de echte identiteit van de hacker(s) te verbergen.

Binnen het systeem zelf zijn ook de nodige maatregelen genomen. Vanaf het moment van inloggen is hier rekening mee gehouden. Accounts blokkeren direct bij meerdere foutieve logins om brute forcing te voorkomen. Daarnaast kan er ingelogd worden middels 2-way authentication (code per sms of push-notificatie in de app).

Ook zijn er talloze andere maatregelen genomen die niet direct zichtbaar zijn voor de gebruiker om bijvoorbeeld SQL injections en session highjacking tegen te gaan.