Ooit gehoord van POODLE? Of Heartbleed? Dit zijn beveiligingslekken die vorig jaar werden ontdekt in populaire netwerkprotocollen. Ze vormen een groot risico voor beveiligd netwerkverkeer. Heartbleed is de meest beruchte en maakt gebruik van een fout in OpenSSL. Dit protocol wordt door veel populaire websites gebruikt en via deze bug kunnen hackers wachtwoorden en andere gevoelige informatie achterhalen uit versleutelde verbindingen. Heartbleed is uitgegroeid tot één van de grootste bedreigingen van de veiligheid op het internet ooit.
Afgelopen maand bleek uit onderzoek van Venafi Labs dat de websites van bijna driekwart van de multinationals nog steeds vatbaar zijn voor de Heartbleed bug. Als het voor hele grote organisaties al een probleem is, hoe zit het dan met leveranciers van recruitment software?
Uit eigen ervaring kunnen wij in ieder geval vertellen dat het niet echt simpel was om Heartbleed op te lossen. Zo moest de netwerksoftware worden geüpgrade. Upgrades op dit niveau staan nooit op zich. In ons geval vereiste het ook upgrades het operating systeem en de database. Een leuke klus als je systeem 24×7 beschikbaar moet zijn en blijven. Een beetje vergelijkbaar met het vervangen van de steunmuren van je huis zonder dat het mag instorten, omdat je erin woont.
Eind augustus zijn wij begonnen met dit proces. In twee fasen. Eerst de upgrade van de Oracle technologie, gevolgd door de upgrade van de webserver. Onze development- en testomgeving werden gebruikt als proefomgevingen om de upgrades te oefenen en de stabiliteit te testen. Begin dit jaar werd de laatste fase, het upgraden van de productieservers, afgerond. Gelukkig zonder problemen.
Uit ervaring weten we dat niet alle leveranciers zover zijn. Hoe veilig is de recruitment software die je gebruikt? Gelukkig is er een simpele test. Op https://www.ssllabs.com/ssltest kan je de server van je leverancier snel testen. Het enige dat je nodig hebt is het domein waarmee je inlogt in het backoffice. Onze score willen we vanzelfsprekend graag delen:
