Chassé neemt security onder de loep middels een pentest

Begin 2022 heeft het Chassé Theater uit Breda een pentest uit laten voeren: een test waarbij computersystemen en applicaties worden getest op kwetsbaarheden, die ervoor zorgen dat er in deze systemen en apps kan worden ingebroken. Chassé’s pentest nam onder andere de security van hun Peppered-site onder de loep. We spraken met Remco Tiel, IT-coördinator bij Chassé, over het belang van security en wat zij op dit vlak doen.

Waarom is security volgens jullie belangrijk?

Je leest en hoort tegenwoordig zoveel in de media over wat er allemaal gebeurt en hoe hackers data weten te bemachtigen. Security is daarmee - zeker in de laatste jaren - een hot topic geworden.

Wij vinden security dan ook een erg belangrijk punt om onze aandacht op te vestigen, terwijl je tegelijkertijd ook weet dat je het nooit goed genoeg zult doen. Er worden ontzettend grote bedrijven gehacked, waarbij terabytes aan informatie wordt weggehaald. Bedrijven die een veel groter budget hebben dan wij om zich hiertegen te beschermen.

Het is een utopie om te denken dat het hier niet zou kunnen gebeuren. Het kan namelijk bij elke organisatie gebeuren. Desondank moet je wel je aandacht op de security van je organisatie vestigen en het hacken zoveel mogelijk proberen te voorkomen of tot een minimum te beperken.

Is Chassé wel eens gehacked?

Dat is al lang geleden, maar dat is wel eens gebeurd ja. De zwakste schakel in het security-proces is de gebruiker achter de computer. Het gaat vaak fout wanneer een site wordt bezocht die al gehacked is en spam bevat en jou daarmee besmet. Of je krijgt een mailtje met spam binnen en klikt op een link in dat mailtje.

Bij ons kreeg iemand zo’n mailtje binnen en heeft op de link geklikt. Er was een veiligheidsaspect bij ons niet helemaal op orde, waardoor de gebruiker te veel rechten had. Daardoor werd er meteen wat op die computer geïnstalleerd. Dat programmaatje probeerde een connectie te maken met het internet over een bepaald kanaal. Dat kanaal hadden wij gelukkig dicht gezet, dat is toen onze redding geweest.

Hoe vind je dat Peppered met security omgaat?

We zijn op een gegeven moment naar Peppered overgestapt voor onze website. Wat ons toen al aansprak is dat het een bestaand product is dat voor meerdere organisaties werkt. We hoefden het wiel daarom niet opnieuw uit te vinden.

Onze accountants doen elk jaar controle en vragen ons hoe de security geregeld is. Daarom hebben we begin 2022 een pentest laten doen door een externe partij, een IT-bedrijf uit Breda, om de security eens op de proef te stellen. Zij hebben ‘white hackers’ in dienst die de zwakheden in bijvoorbeeld het netwerk, of van software of websites onderzoeken. Die pentest hebben we breed laten uitvoeren: zij hebben een week lang onze security getest op Peppered, onze ticketing partner Itix en onze wifi-omgeving.

Peppered werkt voor meerdere theaters en andere cultuurorganisaties. Wij zijn een wat groter theater in Nederland en hebben dan ook wat meer financiën om zo’n pentest uit te laten voeren. Dat hebben we dan ook niet alleen voor onszelf gedaan, maar ook voor de andere aangesloten organisaties.

Wat waren de belangrijkste uitkomsten hiervan?

Zowel bij Peppered als Itix was het zeer goed geregeld. De white hackers hadden geen zwakheden gevonden, zij kwamen nergens doorheen. Er werden nog wel wat aanbevelingen gedaan. De resultaten hebben we daarna met Peppered en Itix gedeeld en de verbeterpunten zijn vervolgens aangepast.

Als we nu weer zo’n test zouden doen, zullen er echter weer andere dingen naar voren komen. Het security-veld verandert continu. Zolang je dat in je achterhoofd houdt en ermee bezig blijft, dan zit je goed.

Heb je nog security tips voor andere cultuurorganisaties?

Neem goede beveiliging niet als vanzelfsprekend. Ga er niet vanuit dat wat je geleverd krijgt ook gelijk helemaal geconfigureerd is. Verander bijvoorbeeld zo snel mogelijk standaard wachtwoorden, stel een two-factor-authentication in en verander ook regelmatig je wachtwoorden.

Hackers komen nooit zomaar in één keer binnen, zij proberen dan ook van verschillende kwetsbaarheden gebruik te maken. Zorg daarom dat je je software altijd snel bijwerkt naar de laatste versie. Er komen namelijk elke dag nieuwe kwetsbaarheden aan het licht die vervolgens door de softwareleveranciers worden aangepakt. Het is dus altijd een spelletje tussen de hackers en de software leveranciers.

Er zijn zoveel protocollen, maar je krijgt het nooit helemaal dicht. Je moet echter wel je best blijven doen, zo kun je ook aantonen dat wanneer het een keer fout gaat, je wel hebt geprobeerd dat te voorkomen.

Meer verhalen

Een goed beveiligd CMS voor jouw organisatie

Bij Peppered staat security hoog in het vaandel. Zo heb jij wat minder zorgen over de veiligheid van jouw online kanalen.

Maak je nog geen gebruik van Peppered? Ga voor een CMS dat altijd compliant is. Neem contact met ons op voor meer informatie.