Pentesten kunnen vals gevoel van veiligheid geven

Dit artikel delen:

Gunstige resultaten van pentesten kunnen een vals gevoel van veiligheid geven. Het uitvoeren van penetratietesten waarbij ethische hackers kwetsbaarheden proberen te vinden, zou aan minimale standaarden moeten voldoen.

Brenno de Winter, tijdelijk chief security & privacy operations bij het ministerie van Volksgezondheid, Welzijn en Sport (VWS), zei dit vandaag tijdens de Data Week NL in Den Bosch. De stuwende kracht achter de informatiebeveiliging en privacybescherming van de app CoronaMelder sprak daar tijdens de 'live meeting' Tech tegen Corona. 

Gunstige resultaten van pentesten zeggen niet zo veel, meent De Winter. Hoewel Infectieradar.nl aan een pentest was onderworpen, bevatte deze site van het RIVM wel een ernstig lek. Aanvallers konden gemakkelijk binnenkomen. De pentesters hadden alleen maar een lijstje met zwakke punten aangereikt. Dat zegt niets over de mate van veiligheid.

Ronduit verkeerd ging het bij de gemeente Hof van Twente waar aanvallers alle data op servers overnamen. En dat terwijl de gemeente dacht al haar zaakjes prima op orde te hebben. Een pentest door Sogeti was immers goed doorstaan. Allerlei zwakheden en problemen, onder meer met de ftp-server, waren dit bedrijf ontgaan. Ook methodologisch bakte Sogeti er weinig van, zo bleek later uit forensisch onderzoek.

Volgens De Winter gaf de pentest geen enkele aanwijzing dat er iets mis was. Elk teken ontbrak dat de gemeente data kon verliezen. De cyberdeskundige begrijpt dat een pentest geen APK-keuring inhoudt. ‘Maar als je uit zo’n pentest enige zekerheid wilt ontlenen, is een meetlat nodig; een minimum standaard waaraan zo’n test moet voldoen.’

Internationale standaard

Als zoiets ontbreekt dan wordt de waarde van zo’n test betrekkelijk gering. Het enige doel is dan wat fouten te vinden. Maar bij zo’n beperkte doelstelling lees je alleen wat de onderzoekers is opgevallen, niet wat er daadwerkelijk is onderzocht. De Winter: 'Veel leveranciers verzwijgen hoe ze onderzoek doen. Dat is ons bedrijfsgeheim, wordt er dan gezegd. Men spreekt dan van eigen magie.’ Maar volgens De Winter is het onzin daar niet transparant over te zijn. ‘Je moeten gewoon de normen kunnen nalopen om de waarde van zo’n onderzoek te kunnen bepalen. Daar is niets magisch aan.’

De CoronaMelder werd pas vrijgegeven nadat deze app tegen de meetlat van het Common Vulnerability Scoring System (CVSS) was gehouden, een internationale open standaard. Voor leveranciers kan die werkwijze wel even slikken zijn, stelt De Winter. ‘Want die zijn niet gewend aan internationale standaarden te voldoen.’

De Winter pleit voor het gebruik van open standaarden en regelmatig rapportages. ‘Dit vergroot het vertrouwen in de technologie die wordt gebruikt in de strijd tegen corona,’ zo besluit hij.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Hi Brenno, goed artikel. Handig om dit als je toch voor VWS bezig bent dit via Forum Standaaardisatie aan te dragen voor-pas-toe-of-leg-uit lijst om benodigde bestuurlijke aandacht te borgen.

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2021-10-27T17:13:00.000Z Alfred Monterie
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.