In tijden waar berichten over cyberaanvallen of datalekken steeds vaker de kop opsteken, is de beveiliging van jouw digitale bedrijfsomgeving een terechte bezorgdheid. Bedrijven beheren steeds meer processen volledig digitaal, maar net zoals fysieke informatie beschermd kan worden door een deur op slot te doen, moeten voor een digitale bedrijfsomgeving ook voorzorgsmaatregelen getroffen worden.
Gelukkig kan je met een Odoo cloud oplossing op je beide oren slapen. Odoo neemt verschillende maatregelen, zowel wat het cloud platform betreft als de software zelf.
Het Odoo cloud platform
Ten eerste staat elke Odoo omgeving apart van de anderen. Er worden dus geen gegevens uitgewisseld tussen verschillende klanten, ook niet als hun databases op dezelfde cluster zouden draaien.
Elke database is enkel toegankelijk met de login en het wachtwoord van zijn specifieke gebruikers. Deze wachtwoorden worden versleuteld volgens verschillende industriestandaarden. Logingegevens worden steeds versleuteld verzonden via HTTPS (in mensentaal: onleesbaar mochten ze onderschept worden, in tegenstelling tot bij HTTP). Het personeel van Odoo of van je Odoo partner kan overigens op geen enkele manier aan je wachtwoord. Ten slotte kan je in je Odoo database ook nog instellen dat wachtwoorden een bepaalde minimumlengte moeten hebben, dat er een cool down periode is na een bepaald aantal inlogpogingen, of dat gebruikers zich moeten aanmelden met behulp van twee-factor-authenticatie.
Naast de databases, zijn er de datacenters waar de Odoo Cloudservers worden gehost. Deze worden enerzijds fysiek beschermd, dankzij toegangscontrole en 24/7 beveiliging via camera’s en beveiligingspersoneel ter plaatse, en anderzijds draaien de Odoo cloud servers op geharde* Linux-distributies met up-to-date beveiligingspatches.
*Gehard wil in deze context zeggen dat het besturingssysteem geoptimaliseerd is om onnodige updates of wijzigingen in de configuratie te vermijden, en extra beveiligingsmaatregelen zijn getroffen om de waterdichtheid van het besturingssysteem te garanderen.
De Odoo software
Gezien bij veel bedrijven heel wat verschillende tools gebruikt worden om allerlei bedrijfsprocessen digitaal te beheren, is het net de overdracht van de gegevens waar er vaak problemen optreden.
Er moeten integraties opgezet worden om deze tools met elkaar te laten communiceren, of in sommige verouderde gevallen wordt er zelfs manueel data overgenomen van het ene systeem in het andere. Het zijn vaak deze overdrachten die kwetsbaar zijn om data naar buiten te laten glippen. Laat dit al een eerste zorg zijn die wegvalt bij het gebruik van Odoo als bedrijfssoftware. Gezien er veel meer bedrijfsprocessen in dezelfde tool plaatsvinden, moeten er geen of beperkte koppelingen opgezet worden. Het risico bij het (manueel) doorgeven van informatie van de verkoopafdeling naar de productievloer, valt op die manier grotendeels weg.
Volgens het Open Web Application Security Project (OWASP) zijn de meest voorkomende kwetsbaarheden bij webapplicaties injectiekwetsbaarheden, cross site scripting (XSS), en defecte of niet-sluitende toegangscontrole.
Odoo ORM
Het Odoo object relational mapping (ORM) framework, voorkomt de eerste kwetsbaarheid omdat het bouwen van queries (zeg maar: verzoeken naar de database) via door het ORM framework gebeuren, in plaats van rechtstreeks door de code van ontwikkelaars. SQL-injecties worden op die manier voorkomen. Anders gezegd: gezien het Odoo framework deze queries zelf genereert, kan een potentiële aanvaller hier niet zomaar indringen of doen wat hij wil.
XSS hacks
Ook XSS-hacks (waar een kwaadwillig script een bestaand, goed werkend script overneemt) worden voorkomen gezien het Odoo framework standaard alle uitdrukkingen omzeilt die in weergaven en pagina’s worden weergegeven. Een XXS-fout kan gebeuren wanneer een applicatie informatie van een gebruiker naar de webbrowser stuurt, zonder deze eerst te valideren of versleutelen. Zo zouden scripts kunnen worden uitgevoerd, die je Odoo sessie overnemen of je database platleggen. Gezien je als ontwikkelaar je gebruikte uitdrukkingen echter uitdrukkelijk als “veilig” moet markeren, kan dit niet gebeuren in een Odoo omgeving.
Toegangscontrole
Defecte toegangscontrole, zoals bv een aanvaller die zelf de url van een record zou wijzigen om andere records te openen, is onmogelijk in Odoo omdat elk verzoek opnieuw de toegangscontrole moet ondergaan. URL’s die door Odoo naar buiten gestuurd wordt (zoals de link die klanten ontvangen om een verkooporder te bevestigen) worden digitaal ondertekend met unieke tokens en enkel verstuurd via email naar de bedoelde ontvanger.
Community en gedeelde verantwoordelijkheid
Ten slotte helpt de Odoo community ook nog een handje. Zo wordt de open source codebase continu nagepluisd door Odoo gebruikers, medewerkers, partners en ontwikkelaars. De feedback en bugrapporten uit de community zijn een belangrijke bron voor Odoo en ze moedigen dan ook iedereen aan om beveiligingsproblemen te melden. Meer informatie daarover kan je hier vinden.
Het blijft belangrijk om te onthouden dat cybersecurity de verantwoordelijkheid is van iedereen in een organisatie. Het volgen van de elementaire best practices (zoals het niet delen van wachtwoorden of het vergrendelen van je computer als deze onbeschermd in een ruimte staat) blijft noodzakelijk.
Conclusie
Met een Odoo omgeving, mag je gerust zijn. Naast de elementaire voorzorgsmaatregelen die je zelf kan instellen, zoals twee-factorauthenticatie, en de inherente veiligheid van 1 programma te hebben waar minder of geen integraties met andere programma’s nodig zijn, zitten veiligheidsmaatregelen ingebakken in het hele Odoo framework. Je kostbare data zit dus veilig achter slot en grendel.
