Red teaming wordt in 2025 standaard bij rijksoverheid

Dit artikel delen:

Red teaming, het door ethische hackers laten testen van de veiligheid van systemen, wordt standaard bij de rijksoverheid. De ambitie is dit soort testen uiterlijk in 2025 volledig in te bedden in de rijksbrede manier van werken. Dan zullen red-teaming-tests vast zijn opgenomen in de test-planning en begrotingscyclus.

Staatssecretaris Alexandra van Huffelen (Digitalisering) schrijft dit in een brief aan de Tweede Kamer. Ze streeft ernaar om in 2025 ook een normenkader beschikbaar te hebben voor security-testen. Daarbij wordt ook naar ketens gekeken. 

Overigens passen diverse onderdelen van overheid thans al red-teaming-testen toe. Van Huffelen noemt als voorbeeld van testen het Tiber-NL programma van De Nederlandsche Bank (DNB). 

Tiber staat voor Threat Intelligence Based Ethical Red-teaming. Binnen dit programma testen financiële instellingen hoe weerbaar ze zijn tegen geavanceerde cyberaanvallen. Dit gebeurt met test-aanvallen die zijn gebaseerd op realistische dreiging. Een klein team van DNB coördineert, maar de instellingen zelf voeren de testen uit.

Van Huffelen merkt op dat testen geen doel op zich is. Het gaat om het delen van de geleerde lessen en opvolging geven aan de gevonden kwetsbaarheden en risico’s.

Cio Rijk

De Cio Rijk heeft onderzocht of de resultaten van dit soort testen breder zijn te delen. Dat kan als een vertrouwde omgeving (fysiek, digitaal en sociaal) beschikbaar is. Verder moeten de uitkomsten en bevindingen zo worden geformuleerd dat ze voor andere overheidsdiensten bruikbaar zijn. Informatie over specifieke kwetsbaarheden blijft in principe vertrouwelijk. 

Een fictief voorbeeld is een kwetsbaarheid in mailservers. Als deze informatie in verkeerde handen zou komen, zou die gebruikt kunnen worden om daadwerkelijke aanvallen uit te voeren op het mailsysteem van de betrokken organisatie, zolang de verbetermaatregel nog niet is doorgevoerd.

Door het risico van de kwetsbaarheid generiek te formuleren, is dit in een veilige omgeving wel deelbaar. Andere organisaties kunnen checken of dit in hun omgeving ook aan de hand is en een risico vormt. Zij kunnen dan gericht verbeteren zonder ook zelf getest te zijn.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in
Vacatures bij De Nederlandsche Bank

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2022-04-04T21:01:00.000Z Alfred Monterie


Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.