Tweede Kamer wil standaard-methodiek voor pentest-opdrachten

31 december 2024 - 08:22ActueelOverheidNSC (Nieuw Sociaal Contract)
Alfred Monterie
Alfred Monterie

De Tweede Kamer wil een dam opwerpen tegen de beunhazerij op gebied van penetratietesten. Unaniem is een motie aangenomen van Six Dijkstra die oproept tot een gestandaardiseerde methodiek voor pentest-opdrachten. Het NSC-kamerlid denkt daarbij vooral aan de ‘Methodiek voor Informatiebeveiligingsonderzoek met Audit Waarde’ (Miauw), waarachter Brenno de Winter, specialist op gebied van cyberbeveiliging zit. 

Zo’n gestandaardiseerde en gecontroleerde aanpak helpt bestuurders beter te begrijpen waar hun kwetsbaarheden liggen en hoe ze deze kunnen aanpakken. Zo valt ook eerder te voldoen aan wettelijke verplichtingen zoals NIS2, die bestuurders verantwoordelijk houdt voor de cyberveiligheid van hun organisaties. Six Dijkstra denkt dat het zin heeft om naast de keurmerken die momenteel bestaan voor pentesten ook het opdrachtgeverschap te verbeteren. Door uniforme eisen te stellen aan de inkoop van pentesten kan veel onheil worden voorkomen. Nu bestaat er rond pentesten nog een – wat De Winter noemt – zekere magie. Vaak is onduidelijk wat pentesters precies doen en hoe ze te werk gaan. Aan deze testen zijn dikwijls ook geen rechten te ontlenen. 

Extra laag

Bij uniform pentesten worden alle bevindingen langs dezelfde meetlat gelegd (CVSS). Bovendien geldt een minimale set van eisen (Owasp, Mastg/WSTG en CIS-benchmarks). De Winter pleit ook voor een uniforme manier van presenteren (PTES), reproduceerbaarheid van het onderzoek en openbaarmaking. Miauw voegt een extra laag van controle toe door middel van audits. Dit betekent dat niet alleen de pentest zelf wordt uitgevoerd, maar ook het proces en de resultaten worden gecontroleerd door een onafhankelijke auditor. Dit verhoogt de betrouwbaarheid en transparantie van de pentest.

Staatssecretaris Zsolt Szabó (Digitalisering) merkte op dat er voor pentesten verschillende vormen, hulpmiddelen en methodieken beschikbaar zijn. Hij wil eerst met betrokken partijen bekijken wat de beste aanpak is voor de overheid. In februari 2024 bracht het Centrum voor Criminaliteitspreventie en Veiligheid (CCV) versie 2.0 uit van zijn certificatieschema voor pentesten. Miauw gaat echter verder dan alleen de uitvoering van de pentest omdat ook een gestandaardiseerde aanpak en extra controlemechanismen worden geboden. 

Validatiecrisis

Recent publiceerde Brenno de Winter nog zijn boek ‘De Validatiecrisis’. Daarin waarschuwt de privacy-activist en security-expert voor het blinde vertrouwen dat leveranciers en gebruikers hebben in technologie.

    Whitepapers

    Computable.nl

    Toekomst van IT-talent. Een nieuw tijdperk

    Wat vraagt veranderende technologie van IT-talent? De route van skills naar succes.

    Computable.nl

    Kies de juiste virtualisatie-aanpak

    Vergelijk drie krachtige open source-oplossingen: Proxmox, Kubernetes en OpenStack

    Computable.nl

    Slimme toegang vs. onzichtbare cyberrisico’s in de Zorg

    In zorginstellingen is een constante stroom van personeel, patiënten en bezoekers. Maar hoe zorg je ervoor dat gevoelige gebieden beschermd blijven zonder de dagelijkse gang van zaken te verstoren? Hoe herken je eventuele zwakke plekken in het netwerk?

    Eén reactie op “Tweede Kamer wil standaard-methodiek voor pentest-opdrachten”

    Geef een reactie

    Meer lezen

    Footer