CoronAlert-app inspireert bedrijven bij het cyberveiliger maken van hun eigen apps
Nu de Belgische COVID-app gelanceerd is, is duidelijk dat cybersecurity als hoogste prioriteit werd meegenomen. Wat leer je van de Belgische CoronAlert-app voor het bouwen van je eigen app?
‘s Werelds eerste corona-apps waren geen toonbeeld van veilige apps. In de Qatar Covid-19 app vonden onderzoekers een kwetsbaarheid waardoor hackers de nationale ID-nummers en gezondheidsstatus van meer dan een miljoen mensen hadden kunnen stelen. In de app van India vond een onderzoeker een veiligheidslek waardoor hij kon bepalen wie er ziek was. En de pilot-app in het Verenigd Koninkrijk bevatte maar liefst zeven veiligheidslekken.
Dat is helemaal anders in de net gelanceerde Belgische app CoronAlert. In dit artikel sommen we de 7 maatregelen op waardoor de app cyberveilig is.
Hoe een app cyberveilig maken
CoronAlert focust enorm op cybersecurity . Gebruik deze app als inspiratie om de apps van je eigen onderneming of merk zo privacyvriendelijk en cyberveilig mogelijk te ontwikkelen.
1. Cybersecurityspecialisten zaten van in het begin mee aan tafel. Bart Preneel, professor en encryptiespecialist aan de KU Leuven, is de architect van de Belgische app. Hij koos mee de technologie en de partijen die de app bouwden. Hij is cybersecurity expert en verantwoordelijk voor het Vlaams Onderzoeksprogramma Cybersecurity.
2. De gebruikte technologie is privacyvriendelijk. De achterliggende technologie van CoronAlert is het internationaal gebruikte DP-3T. Deze maakt het hele systeem van in de basis zo privacyvriendelijk mogelijk.
3. Gebruikers geven geen persoonlijke data in. Ze hoeven niet in te loggen en geen koppelingen te leggen met andere apps die persoonlijke gegevens bevatten. Hierdoor valt er voor hackers weinig te rapen.
“De privacy-technische aspecten van de app hebben we uitvoerig getest”, schrijft Test-Aankoop. “Uit onze analyse blijkt dat de app geen steken laat vallen op vlak van privacy. Aan de hand van de verzamelde en verstuurde gegevens is het niet mogelijk om je direct of indirect te identificeren. De app is volledig anoniem. Je wordt bovendien goed ingelicht over het privacybeleid.”
5. De app weet niet waar je bent, wie je bent of wie je ontmoet hebt. De enige gegevens die uitgewisseld worden zijn codes.
“De app heeft geen toegang tot locatiegegevens en tot persoonsgegevens”, verduidelijkt Bart Preneel. “Nabijheid wordt enkel afgeleid door het uitwisselen van willekeurige codes die bijna niet te ontcijferen zijn en voortdurend veranderen.”
6. Enkel codes worden tijdelijk opgeslagen, terwijl er wordt gewacht op het testresultaat. “De codes worden maximaal veertien dagen bewaard om na te gaan wie van de geteste personen de app gebruikt”, zegt Bart Preneel aan De Standaard. “Die code is niet nuttig voor Sciensano, het Interfederaal Comité voor Testing & Tracing. Dus is er ook geen enkele reden om die te bewaren.”
Sciensano heeft een volledig aparte database met persoonsgegevens voor het verwerken van de test en voor manuele contactopsporing.
7. De uitwisseling van gegevens tussen de app en de servers is versleuteld. “Bovendien is de app beschermd tegen ‘man-in-the-middle-aanvallen’”, concludeert Test-Aankoop. “Hackers kunnen niet zomaar het internetverkeer tussen de app en de server onderscheppen.
7. De servers zijn veilig voor hackers. “Ze zijn bestand tegen DDoS (Distributed Denial of Service)-aanvallen”, bevestigt Test-Aankoop. “Dat betekent dat IP-adressen die teveel verzoeken naar de server sturen, geblokkeerd worden.”
De app werd intussen al 2 miljoen keer gedownload, schrijft de VRT liveblog.
