Overheden blijken vaak laks in het controleren van de ict-beveiliging bij partners in de keten. Terwijl een incident in de software of systemen van die ketenpartners ook de eigen omgeving in gevaar brengt.
Dat werd deze week nog eens duidelijk toen de beveiliging van een coronatestbedrijf dat was aangesloten op de Coronacheck-app, de officiële verstrekker van digitale testbewijzen van het ministerie van VWS, een lachertje bleek.
Een verslaggever van RTL Nieuws toonde aan dat kwaadwillenden via de website van de coronatestaanbieder Testcoronanu de achterliggende database konden benaderen en maakte eenvoudig een negatieve coronatest aan. Die werd vervolgens in de officiële Coronacheck-app omgezet in een officieel online testbewijs (qr-code).
Op papier leek alles in orde. Er was immers voldaan aan een hele reeks checks, maatregelen en eisen, waaronder een pentest. Waarschijnlijk is bij die pentest alleen een vinkje gezet en is deze nooit uitgevoerd. Of zoals een VWS-woordvoerder het zei: ‘Dit lek was met elke pentest gevonden.’
Onze stelling:
Overheden vertrouwen te veel op procedures en protocollen en moeten zelf controleren of leveranciers aan die eisen voldoen. Je kunt als overheid niet de leverancier verantwoordelijk maken voor een pentest. Die moet je zelf uitvoeren.
We kijken uit naar uw reactie.
Testcoronanu B.V. lijkt me een opportunistische onderneming dus erg verbaasd ben ik niet want de overheid is net als met Sywert te goed van vertrouwen als het om de zakelijke realiteit gaat. Het is dus fijn voor VWS dat ze een zondebok hebben gevonden voor operatie ‘Testen voor Toegang’ want ze hadden voor de crisis al niet de regie in handen en het is er gedurende de pandemie niet beter op geworden. Ik stelde namelijk ruim 8 jaar geleden de vraag of het redelijk is om van de zorgverleners te verwachten dat ze voldoende kennis en kunde hebben van de informatie- & communicatietechnologie?
Als de overheid zelf de pentesten uit gaat voeren in alle zorgketens dan kan Hugo beter honderden IT-ers in gaan huren dan juristen want er zijn nogal wat ‘aanvalspunten’ als we kijken naar de zorgmarkt. Hedendaagse zorg gaat namelijk heel wat verder dan het ziekenhuis, de VVT-keten van nazorg is niet alleen langer maar kent ook een langere duur. Deze zorg digitaliseert steeds meer maar niet altijd op een manier die voldoet aan de normeringen, het is namelijk vaak de boekhouder die zich als heelmeester opstelt.
“Op papier leek alles in orde.”
ja op papier was de verantwoordelijkheid mooi weg gemangeld maar in die weerbarstige praktijk blijken die bureau tijgers toch niet diezelfde ‘handjes’ te hebben als de vakmensen die de afgelopen jaren outsourced zijn. wie zijn billen brand moet op de blaren zitten nu!
Hoe een testaanbieder de hele informatieketen kan overzien om zinnig met een penetratietest op zwaktes te testen, ontgaat me. En als het al zou kunnen, is het niet echt efficiënt dat iedere nieuwe aanbieders iedere keer weer de hele keten gaan testen.Toch staat in de beoordelingsprocedure dat iedere aanbieder eerst een ‘Pentest op systemen in de keten voorCoronaCheck’ moet hebben uitgevoerd. Alleen zijn eigen systemen, alle, sommige?
Ik vind de DPIA die ook wordt geëist eigenlijk nog interessanter en snap eerlijk gezegd niet dat er apart van elkaar om een pentest, voldoen aan NEN-7510/7512/7513 en een DPIA wordt gevraagd. Logischer is om een DPIA te eisen waarin minimaal aan het uitvoeren van genoemde test en normen is voldaan. Volgens mij zijn hier bij deze app VWS en de testaanbieders gezamenlijk verwerkingsverantwoordelijken AVG/DGPR-technisch gezien. Ze zullen dus ook zo’n DPIA gezamenlijk moeten (laten) uitvoeren. Of VWS voert dit uit namens een nieuwe aanbieder. Zeker van een overheid mag je dan verwachten dat DPIA’s openbaar zijn, dan weet je als eindgebruiker meteen iets meer over de kwaliteit van de testaanbieders op privacy- en securitygebied.
Tot nu toe verschuilt VWS zich bij die vorige app van ze, de CoronaCheck app, achter het argument dat ze wel zelf een DPIA hebben uitgevoerd, maar deze niet openbaar is, omdat er beveiligingsaspecten in worden genoemd. Ja, haha, dan kun je geen enkele DPIA openbaar maken, leuk bedacht, dit. Ze zullen nu toch niet in de veronderstelling zijn dat ze zelf helemaal geen DPIA hoeven uit te voeren, door iedere testaanbieder er maar eentje te laten uitvoeren (die niet echt goed te controleren valt), hoop ik?
Wel vinkje zetten maar niet uitvoeren..
welke NEN normering zou dat nou weer zijn ?
Een pentest moet juist door een externe partij worden uitgevoerd. Redenen worden al aangegeven door andere commentaren: gebrek aan kennis en tijd. Je bent ook niet de hele dag aan het pentesten. Waar het omgaat is dat de bevindingen die uit de pentest komen serieus genomen moeten worden en daar moet opgestuurd worden. Een goede pentest (ja dat betekent dus goed opdrachtgeverschap en kennis van die materie) heeft een vooraf helder normenkader waarop getoetst wordt. Dan gaat de externe pentester aan de gang en komt met een lijst van bevindingen. Die pak je op, in samenspraak met de pentester. Nadat alle bevindingen zijn opgelost (door aanpassingen aan te brengen in het IT-landschap en dat kan bij pentesten echt van alles zijn, poortjes dichtzetten tot hele ingewikkelde zaken in de software), laat je de pentester opnieuw de test doen en kijk of er nog bevindingen overblijven of er nieuwe bijgekomen zijn. Wat een goede stap zou zijn, om zaken gemakkelijker te maken, is door elke nacht een script te draaien of alle controls waar je aan moet voldoen nog steeds in takt zijn. In een grote IT-omgeving is het namelijk niet realistisch te verwachten dat er nooit iets wordt aangeraakt, dat effect heeft op de veiligheid.
Een pentest is een securit instrument. Security gaat over het beveiligen van alle gegevens.
Een DPIA is een privacy instrument. Privacy gaat over hoe om te gaan met persoonsgegevens.
Het zijn echt twee verschillende “dingen”.
Thank you for your sharing,That’s pretty cool.