Het ministerie van VWS controleert niet met een eigen penetratietest (pentest) of de systemen van aanbieders van coronatests, die gekoppeld zijn met de Coronacheck-app, deugen. De verantwoordelijkheid voor die pentest ligt volledig bij de externe aanbieders. Dat vormt een flink risico voor de Coronacheck-app, dat de officiële verstrekker is van digitale testbewijzen. De procedure gaat mogelijk op de schop.
Bij een negatieve testuitslag stuurt een externe coronatestaanbieder deze naar de app van VWS die deze omzet in een qr-code waarmee iemand kan aantonen dat hij getest of gevaccineerd is en op reis kan of een evenement kan bezoeken.
Afgelopen weekend meldde RTL Nieuws dat door een lek bij aanbieder Testcoronanu het mogelijk was om valse reis- en toegangsbewijzen in de app Coronacheck te krijgen. Ook waren de privégegevens van ruim 60.000 mensen die bij dat bedrijf een coronatest deden, gelekt.
Een verslaggever kon na het maken van een afspraak via twee regels code in de webbrowser toegang krijgen tot de database van de coronatestaanbieder. Door schrijfrechten kon hij een eigen negatieve test toevoegen. Die data werd via een koppeling met de Coronacheck-app van de overheid omgezet in een officieel digitaal testbewijs. Het toonde aan hoe mensen die niet getest zijn aan een negatief testbewijs kunnen komen.
VWS heeft de koppeling tussen de systemen van de Coronacheck-app en coronatest-aanbieder Testcoronanu direct gestaakt nadat het lek bekend werd.
Stappenplan
Volgens de woordvoerder van VWS zijn er rond de dertig commerciële aanbieders van coronatests aangesloten op de Coronacheck-app. Volgens hem gaat het in het geval van het datalek om een incident en zijn in de andere gekoppelde systemen geen kwetsbaarheden van die omvang aangetroffen. ‘Dit lek was met elke pentest naar voren gekomen.’ Er wordt nu onderzocht of er en zo ja, hoe, de pentest heeft plaatsgevonden.
Om die aansluiting tot stand te krijgen, moeten die partijen allerlei procedures volgen en documentatie voorleggen. Zoals beveiligings- en privacy-eisen en een pentest.
Het aansluiten op de app van de rijksoverheid verloopt volgens een strikt stappenplan maar lijkt gezien het bekende beveiligingslek vooral een papieren tijger te zijn. In de lijst met antwoorden op veelgestelde vragen staat over de pentest dat de aanbieder verantwoordelijk is om kwetsbaarheden te beheersen (zie kader). Daarmee legt de overheid wel erg makkelijk de verantwoordelijkheid bij de andere partij, zeker in een tijd waarin steeds vaker wordt gewaarschuwd voor risico’s in de keten van partners en toeleveranciers.
NEN 7510
Op welke systemen en applicaties moet ik de pentesten uitvoeren?
De pentest moet u uitvoeren op alle systemen in de keten die van toepassing zijn voor de Coronacheck-app. Dit heeft in ieder geval betrekking op de applicatie die mensen gebruiken om afspraken te maken, voor het verwerken van testen en delen van uitslagen met de gebruiker. Een aanbieder is eindverantwoordelijk om de kwetsbaarheden van de systemen te beheersen die onderdeel zijn van de keten volgens NEN 7510.
Bron: Vragen en antwoorden over aansluiten op Coronacheck-app
Weer in de fout
Na het melden van het beveiligingslek meldde RTL Nieuws dat het gewraakte Testcoronanu opnieuw in de fout is gegaan met data en privacy. Er ontstond een nieuw datalek doordat alle mensen, die op de hoogte werden gesteld dat hun afspraak niet door ging, ‘in cc’ waren gezet. Daardoor waren alle mailadressen van mensen met een geannuleerde afspraak zichtbaar.
Een pentest? Nog *nooit* van gehoord. Zal wel een penetration test zijn.
@Willem: Nee, een pentest betekent dat je opschrijft dat jouw systemen veilig zijn. Dat hoeft niet met een computer, maar mag gewoon met een _pen_ (op een papiertje of de achterkant van een bierviltje).
Kern is dat VWS nog steeds verantwoordelijk is, en blijft, voor hetgeen men heeft uitbesteed.
Kennelijk is dat niet helemaal bij VWS door gedrongen.
Zoals met zoveel andere zaken is bij VWS sprake van geen enkele regie.
[ironisch] ja maar ja maar ja maar op papier was ALLES in orde ?!? [/ironisch]
tja… daar waar managers de taken van vakmensen outsourcen…