Lister biedt in Utrecht en omgeving ondersteuning en huisvesting aan mensen wiens leven ontwricht is geraakt door een psychische kwetsbaarheid. Om de ondersteuning van cliënten nog verder te verbeteren, ontwikkelde Lister een app waarin de Lister-medewerkers toegang hebben tot de meest actuele informatie over de cliënt, afspraken en doelen. Om de app op securityrisico’s te testen, schakelde Lister Computest in.
Lister biedt 24/7 huisvesting en begeleiding aan ruim 1.400 cliënten. Haar missie is om cliënten zo veel mogelijk in hun eigen omgeving te laten herstellen, in de eigen wijk en in hun eigen huis. Als dat (tijdelijk) niet kan, biedt Lister verschillende beschermde woonvormen. De zorg die Lister biedt is altijd maatwerk. Rondom een cliënt is doorgaans een team van Lister-werkers actief.
‘Samenwerking is voor ons vanzelfsprekend, want dat leidt tot het beste resultaat voor de cliënt. Vanuit onze visie zijn wij voortdurend op zoek naar mogelijkheden om de samenwerking en daarmee de zorg te verbeteren’, vertelt Dennis Bouwmeester, projectleider bij Lister. Om de samenwerking en het delen van informatie tussen Lister-medewerkers te optimaliseren, ontwikkelde Lister een web-based app. In de app kunnen de betrokken begeleiders op hun smartphone of tablet zien welke doelen er samen met de cliënt zijn opgesteld, welke afspraken er zijn gemaakt en wat de status is van het herstel. Alle Lister-begeleiders hebben met de app altijd en overal toegang tot dezelfde en meest actuele informatie.
“Computest is een partner die op een prettige manier met je meedenkt om tot het beste resultaat te komen."
- Ronald Ferdinandus, coördinator Informatisering & Automatisering bij Lister
Privacygevoelige informatie
De app bevat uiterst privacygevoelige informatie. Lister hecht daarom veel waarde aan security. ‘We willen de garantie van een onafhankelijke specialist dat de app maximaal is beveiligd tegen malafide aanvallen en ongeoorloofde toegang van buitenaf. Daarnaast wil je ook zeker weten dat het authenticatie- en autorisatieproces op orde is. Om zo veel mogelijk terughoudendheid ten aanzien van de cliënt en zijn privacy te betrachten, moeten Lister-medewerkers alleen de voor hen relevante informatie kunnen zien’, zegt Ronald Ferdinandus, coördinator Informatisering & Automatisering bij Lister.
In de zoektocht naar een partij die hen hierbij kan helpen, komt Lister bij Computest uit. Ferdinandus: ‘Gelet op eerdere ervaringen met andere partijen was het voor ons belangrijk dat het echt een onafhankelijke testspecialist zou zijn. Een partij die zich puur richt op het testen en auditen van de app en niet ook aanbiedt om eventuele onvolkomenheden in de app te herstellen. Het proces van ontwikkeling en testen willen we om verschillende redenen strikt gescheiden houden.’
Wat volgens Ferdinandus verder in het voordeel van Computest spreekt, is dat ze ze zich vanaf het eerste moment flexibel en coöperatief opstellen. ‘De Security Specialist die de app zou gaan testen, was tijdens het kennismakingsgesprek al mee. Dat praat natuurlijk al een stuk makkelijker. En ze stelden zich flexibel op, bijvoorbeeld toen wij vroegen om een uitgebreide managementsamenvatting in het eindrapport op te nemen.’
Het testtraject
Het testtraject – testen, resultaten terugkoppelen, oplossen, hertesten, rapporteren – besloeg een periode van enkele weken. Onder meer code review en een poortscan maakten deel uit van het traject. De Security Specialist van Computest heeft daarnaast ook een uitgebreid kwetsbaarhedenonderzoek uitgevoerd op de app en het onderliggende platform.
Ferdinandus is zeer te spreken over de samenwerking met Computest: ‘Hun Security Specialist kijkt puur naar de feiten. Hij maakt ons op zaken attent die niet handig zijn en legt op een begrijpelijke manier uit hoe het beter kan, zonder een waardeoordeel te vellen. Computest is daarin echt een partner die met je meedenkt om tot het beste resultaat te komen.’
Ondanks dat uit de securitytest maar één kritische kwetsbaarheid kwam – het beveiligingsrisico van de overige aangestipte punten werd door Computest als zeer gering aangemerkt – besloot Lister wel alle punten die Computest benoemde op te lossen.
Duidelijke rapportage
Ter afronding van het project leverde Computest een rapport op, waarin naast de initiële bevindingen, ook de wijze waarop de ontwikkelaars van Lister dit vervolgens hebben aangepast en de status na de hertest waren opgenomen. Bouwmeester: ‘In het rapport staan ook de zaken die in eerste instantie al helemaal goed waren gebouwd. Op deze manier konden wij onze Raad van Bestuur een waarheidsgetrouw en compleet beeld geven over de beveiliging van onze app. Dat en de manier waarop Computest werkt, maakt dat we in de toekomst zeker weer gebruik zullen maken van hun diensten.’