Schijnveiligheid rond API-koppelingen

datum: 22 mei 2025

Over het ontbreken van wetgeving voor API's

We leven in een tijd waarin software de ruggengraat vormt van onze organisaties. Alles moet gekoppeld, verbonden, geïntegreerd. API’s (Application Programming Interfaces) maken dat mogelijk. Maar hoe veilig zijn die koppelingen eigenlijk?

Wat ons zorgen baart: om een broodrooster op de markt te brengen, moet een onderneming voldoen aan een hele reeks strenge normen. CE-markering, elektrische veiligheid, gebruikersveiligheid… alles is vastgelegd. . Maar een API waarmee je gevoelige persoonsgegevens uitwisselt tussen systemen? Daar bestaan nauwelijks formele richtlijnen of wetgeving voor. 

Een alarmerende realiteit

De afgelopen tijd hebben we bij Horizon Internet Technologies meerdere API’s getest op verzoek van klanten. De uitkomsten? Soms prima. Maar soms ook ronduit zorgwekkend:

  • Binnen 2 minuten toegang tot alle gebruikerswachtwoorden – inclusief de mogelijkheid deze te wijzigen.
  • Volledige controle over IoT-sensoren binnen een netwerk, zonder enige vorm van authenticatie of logging.
  • API’s die zonder throttling of logging openstaan voor iedereen die de URL weet.

En dit gebeurt bij organisaties die serieus bezig zijn met digitalisering – of denken dat ze dat zijn.

Een API zonder beveiliging is als een voordeur zonder slot – je nodigt problemen uit.

Het ontbreken van kaders

Er zijn wel ISO- en NEN-normen voor informatiebeveiliging (zoals ISO 27001), maar die zeggen iets over de processen binnen een organisatie, niet over de technische kwaliteit of weerbaarheid van individuele API’s. Het is alsof je een restaurant beoordeelt op de netheid van de keuken, maar nooit proeft of de kip gaar is.

Er zijn geen verplichte audits, geen verplichte pentests, geen wettelijke minimumeisen voor API-beveiliging. Dat is raar – zeker gezien de explosieve groei van digitale koppelingen in sectoren als zorg, overheid en bouw, waar digitale veiligheid zo belangrijk is.

Met de toenemende digitalisatie worden we steeds afhankelijker van API-verbindingen. Om de veiligheid van data over deze API’s te kunnen garanderen, moeten er maatregelen en wetgeving komen. 

Een API (Application Programming Interface) is een digitale “tolk” die zorgt dat verschillende systemen met elkaar kunnen praten. Denk aan een app die informatie uit jouw boekhoudsysteem haalt, of een IoT-sensor die gegevens naar een dashboard stuurt – allemaal via API’s.

API’s zijn onmisbaar in moderne softwarearchitectuur. Ze maken koppelingen mogelijk tussen systemen, applicaties, databronnen en externe diensten. Zonder API’s zou digitalisering simpelweg niet werken.

En – API’s gaan nergens heen. In tegendeel: met de groei van AI, IoT, cloud en data-integratie zullen we steeds afhankelijker worden van API’s.

Precies daarom is het zo belangrijk om API-beveiliging serieus te nemen. Een zwakke API is als een achterdeur van je hele digitale organisatie.

Er zijn vele implementaties van API’s, in allerlei sectoren en contexten, echter:

  • API’s zijn vaak ontworpen voor gemak, niet voor veiligheid.
  • Authenticatie- en autorisatiemodellen zijn vaak matig: API-keys worden hardcoded opgeslagen, tokens verlopen niet, en gebruikersrollen worden onvoldoende gevalideerd.
  • Logging ontbreekt, waardoor een lek niet wordt ontdekt – tot het te laat is.

Het is verstandig om een API verbinding te bekijken als een digitale voordeur. Een slot, sensor en alarm is geen overbodige luxe.

Wat vaak beter kan: 

  1. Verplicht API Security by Design. Denk aan OAuth2, rate limiting, logging en versleuteling als standaard.
  2. Onafhankelijke API-keuring. Net zoals een CE-keuring bij apparaten.
  3. APIs laten opnemen in pentests. Niet alleen je applicatie, maar ook de toegangspoort ertussen moet getest worden.
  4. API security opnemen in (Europese) wetgeving. Zeker voor sectoren met privacygevoelige data.

Veiliger maken van je API's:

Als IT-manager, developer of applicatie-eigenaar kun je vandaag al beginnen met het veiliger maken van je API’s:

  • Laat een pentest uitvoeren op je bestaande API’s

  • Beoordeel of je autorisatie goed geregeld is

  • Log alle API-aanroepen en bouw alerts in bij afwijkend gedrag

  • Vraag je leveranciers: “hoe is jullie API beveiligd?”

  • Laat je niet sussen door ‘we hebben een SSL-certificaat’ – dat is echt niet genoeg

 

Checklist: Is jouw API veilig?

VraagGoed geregeld? ✅Toelichting
Vereist je API moderne authenticatie (zoals OAuth2)? Wachtwoorden of API-keys alleen zijn niet voldoende.
Worden gegevens via HTTPS en TLS 1.2+ verstuurd? Versleuteling is essentieel, ook intern.
Is er autorisatie per gebruiker of dienst? Niet iedereen mag alles zien of wijzigen.
Is er throttling / rate limiting ingesteld? Beperk herhaalde aanroepen, voorkom misbruik.
Worden alle API-aanroepen gelogd? Logging helpt bij opsporing van misbruik.
Is de API opgenomen in je pentest? Vaak wordt alleen de applicatie zelf getest.
Zijn tokens tijdelijk en vervallen ze automatisch? Vermijd tokens die ‘eeuwig’ geldig blijven.
Worden er alerts verstuurd bij afwijkend gedrag? Bijvoorbeeld: 1000x dezelfde aanroep in een uur.

Klaar om je digitale deuren te checken?

Conclusie

API’s zijn de bloedsomloop van je digitale organisatie. Maar zolang we ze behandelen als open wonden zonder pleister, kun je kwetsbaar zijn voor datalekken, sabotage of systeemuitval.

Bij Horizon Internet Technologies helpen we je graag met het testen, adviseren, verbeteren en beveiligen van je API’s. Voorkom verrassingen – en sluit je digitale voordeur.

Wat is jouw stip op de horizon?

Wil je graag je marktpositie verder versterken? We bespreken graag de mogelijkheden voor het inzetten van onze kennis en software.

Samenwerkende allianties maken het verschil!

Neem contact op

©2024 Horizon Internet Technologies . All Rights Reserved.

Privacy policy
Cookiebeleid (EU)