Een interview met Technisch Directeur en mede-oprichter van Plek: David Clarisse

door Niki

Een interview met Technisch Directeur en mede-oprichter van Plek: David Clarisse

We willen jullie graag weer eens een kijkje achter de schermen bij Plek geven. Eerder vertelden we al dat het voor ons erg belangrijk is om Plek simpel te houden, maar toch alle complexe functies naar voren te brengen. Minstens even belangrijk is de veiligheid van het platform. Gebruikers delen ontzettend veel informatie op Plek en dat moet gemakkelijk te vinden zijn door de juiste personen, maar mag natuurlijk niet in verkeerde handen vallen. Vandaag nemen we een belangrijke taak onder de loep: de beveiliging van Plek. We interviewen David Clarisse, Technisch Directeur en mede-oprichter van Plek, over zijn kijk op de veiligheid van Plek.

Even kennismaken. Wie is David?

“Ik heb informatica gestudeerd met een specialisatie in encryptie. Daarna heb ik een paar jaar als freelancer gewerkt aan allemaal leuke projecten. Ik kwam Stefan (mede-oprichter van Plek) tegen bij één van die projecten. We zijn samen Safeberg begonnen, een veilig online back-up applicatie. Tegelijkertijd werkten Stefan en ik aan andere projecten, en daar kwam ILUMY uit voort. Een paar jaar later ontwikkelden we Plek. Ik ben Technisch Directeur van ILUMY en van Plek. Ik werk samen met negen andere developers samen om Plek steeds slimmer, simpeler, mooier en veiliger te bouwen. We onderzoeken nieuwe technologieën en denken na over de toekomst van Plek, zodat we zowel nu als in de toekomst het beste, veiligste en mooiste platform kunnen bieden.”

Kun je wat meer vertellen over jouw rol binnen Plek?

“Als Technisch Directeur begeleid ik de developers, maar ik ben ook vaak bij klanten om technisch advies te geven. Verder heb ik de rol van Product Owner binnen Plek. Verschillende klanten hebben verschillende wensen, en ik moet bepalen wat het beste is voor Plek als product. We willen graag doorontwikkelen en nieuwe features toevoegen maar we moeten goed kijken wat de beste keuzes zijn voor de kwaliteit van het product. Veiligheid is daarbij erg belangrijk voor ons, dus daar houd ik me veel mee bezig.

Toen we in 2013 met Plek begonnen, waren snelheid en gebruiksvriendelijkheid de belangrijkste doelen. We kregen steeds grotere klanten die veiligheid hoog in het vaandel hadden staan. Plek werd al op superveilige servers met een redundante set-up gehost (twee datacenters, zodat Plek gewoon doordraait als er één uitvalt) bij True. Maar als je veiligheid serieus neemt, moet je ook zorgen dat hackers niet binnen kunnen komen. Twee jaar geleden werd voor het eerst een penetratietest uitgevoerd, waarin ethische hackers Plek probeerden binnen te dringen. Naar aanleiding van die test hebben we de architectuur van Plek aangepast en een groot deel herbouwd om het product extra veilig te maken. Voor de laatste penetratietest zijn we met vlag en wimpel geslaagd!”

Hoe veilig is Plek? En hoe weet je dat het echt veilig is?

“Een penetratietest is slechts een controlemiddel, om te checken of een hacker binnen een bepaalde tijd (meestal 2 weken) binnen kan komen. Het succesvol doorstaan van een penetratietest, wil niet zeggen dat er geen problemen in je product kunnen zitten. Het is dus belangrijk om bij elke ontwikkeling van Plek te kijken wat de veiligste manier is. In het framework waarin we Plek ontwikkelen kan een hacker geen malafide code naar binnen brengen, een gebruiker kan bijvoorbeeld geen Javascript in berichten plaatsen. Alles wat je doet op Plek wordt door speciale checks gehaald om bijvoorbeeld om cross-site scripting te voorkomen. Verder is end-to-end encryptie van de chat standaard ingebouwd. Bij de start van een chat wordt een sleutel gegenereerd bij persoon A en bij persoon B. Elk bericht dat wordt gestuurd, wordt met de sleutel van de andere persoon geëncrypt.

Wij doen het maximaal haalbare op het gebied van veiligheid. En mocht er toch een keer een veiligheidslek gevonden worden, dan is het belangrijk dat je snel handelt. Wij kunnen Plek in zo’n geval snel updaten en gebruikers direct informeren.”

Veilige chat

Waarom is het zo belangrijk om een veilige chatfunctie te hebben?

“Ik zie bij onze klanten dat er twee types mensen aan tafel zitten: gebruikers en IT’ers. Gebruikers willen vooral een gemakkelijk sociaal platform, waar ze snel berichten kunnen plaatsen met foto’s en video’s, kunnen reageren en liken en documenten kunnen plaatsen en zoeken. Ze gebruiken in de privésfeer vaak WhatsApp en zijn op zoek naar iets soortgelijks. De Security- en IT-afdeling zijn eigenlijk alleen maar bezig met de hoge eisen die ze hebben met betrekking tot veiligheid. Er moet bijvoorbeeld voor gezorgd worden dat mensen van buiten het kantoor absoluut geen toegang krijgen tot gevoelige bedrijfsinformatie. Daarom moet de chat dus geëncrypt zijn. En servers mogen niet in Amerika staan in verband met de Patriot Act. Het lastige is om die twee types mensen samen een oplossing te laten vinden.

De meest gebruiksvriendelijke optie is niet altijd de allerveiligste oplossing, en vice versa. Bij gebruik van een applicatie zoals WhatsApp, die buiten de controle van het bedrijf valt, ontstaan gemakkelijk lekken. En een applicatie zoals SharePoint is erg veilig maar lastig in gebruik. Uiteindelijk is het voor organisaties het belangrijkst om een communicatiemiddel te hebben dat vriendelijk is, liefst zo gemakkelijk als WhatsApp, maar dat tegelijkertijd voldoet aan de hoge veiligheidseisen van de IT’ers. Dat is Plek!”

Waarom is Plek volgens jou beter en veiliger dan de concurrentie?

“Wat betreft de Nederlandse concurrenten: dit zijn vaak platformen die zich niet hoofdzakelijk op veiligheid richten. Zij kiezen voor gebruiksvriendelijkheid als hoofddoel, en end-to-end encryptie wordt over het algemeen niet ondersteund. Veel concurrenten hebben ook alleen een tijdlijn, geen blokkenoverzicht - wat juist erg handig is als je meerdere groepen hebt - en zij hebben vaak ook geen chat. Een grote buitenlandse concurrent die juist met name op chat en vluchtige communicatie gericht is, is Slack. Maar aangezien hun servers in Amerika staan, vallen ook zij onder de Patriot Act. Verder heeft Slack juist geen tijdlijn. Wij kiezen er bij Plek voor om een sociaal intranet, dus berichten in een tijdlijn, te combineren met chat. Hierdoor is Plek geschikt voor zowel vluchtige, korte berichtjes als meer inhoudelijke berichten voor de langere termijn.”

Op welk onderdeel of op welke mijlpaal die je behaald hebt binnen Plek ben je het meest trots?

“Ik ben het meest trots op de uitrol van Plek bij KPMG. Ze wilden heel graag met Plek gaan werken maar in de beginfase werd al duidelijk dat de veiligheidseisen daar een stuk hoger waren dan bij andere klanten. We moesten een uitgebreide vragenlijst beantwoorden op het gebied van security en ondergingen een nieuwe penetratietest. We moesten Plek voor het eerst op Azure servers van Microsoft hosten. Het was een lang traject maar toen we Plek uiteindelijk lanceerden bij KPMG ging het direct heel goed: op de eerste dag was de app al 900 keer gedownload en waren meer dan 1000 gebruikers actief. Al onze inzet werd echt beloond. Ik ben er trots op dan zo’n grote organisatie als KPMG, die veiligheid ontzettend belangrijk vindt, nu samenwerkt met een jonge organisatie als Plek.”

En wat wil je nog graag verbeteren?

“Ik wil graag werken aan de integraties. Op dit moment hebben we bijvoorbeeld al een integratie met SalesForce (als er een verkoop valt, komt er een notificatie in de Plek chat van het sales team). We zijn hard bezig om volledig te integreren met SharePoint en Google Drive. Je wilt als gebruiker niet alles in één platform want dat is te complex, maar je wilt wel dat verschillende platformen goed met elkaar samenwerken. Het hoofddoel van Plek is communicatie. Het is geen DMS (document management systeem). Een integratie met SharePoint of Google Drive in Plek zorgt ervoor dat je documenten in je communicatie kunt gebruiken of juist kunt communiceren over documenten. Wij kijken welke functies niet binnen Plek zelf passen, en integreren deze zodat het voor de gebruiker soepel voelt om ze toch binnen Plek te gebruiken.”

Hoe zie jij het superveilige Plek in de toekomst?

“Idealiter zie ik Plek volledig geëncrypt. Natuurlijk is de internetverbinding geëncrypt en zijn de servers veilig. Maar alleen de chat is nu end-to-end geëncrypt. Als we Plek volledig encrypten, betekent dat dat de informatie die de gebruikers met elkaar delen sowieso onbereikbaar is voor buitenstaanders. De uitdaging is dat het zoeken blijft werken maar dat het wel heel veilig is. Als je alle data bij de gebruiker al versleutelt en bij de persoon die de post leest pas ontsleutelt, moet de informatie geëncrypt op de server staan. Maar het zoeksysteem draait op de server, en in versleutelde data kun je niet zoeken. Dus de uitdaging is het vinden van de gulden middenweg. Denk bijvoorbeeld aan het tijdelijk ontsleutelen van data op de server zodat erin gezocht kan worden.

Daarnaast zijn we bezig met iets heel anders: het versnellen van de uitrol van nieuwe versies en security fixes. Nu duurt de release cycle vier weken. We willen eigenlijk dagelijkse fixes mogelijk maken om zo snel mogelijk updates uit te kunnen voeren.”

Zou je persoonlijk je geheimen aan Plek toevertrouwen?

“Ligt eraan welk geheim, en in welke groep! Als bedrijf moet je altijd voorzichtig omgaan met je gevoelige informatie, dus ook op Plek zelf is nog steeds de vraag: Wie heeft toegang tot wat? Wij proberen in de interface heel duidelijk te maken wie straks gaat zien wat jij gaat plaatsen, zodat je niet per ongeluk informatie bedoeld voor de directie deelt met een stagiair.”