Gunstige resultaten van pentesten kunnen een vals gevoel van veiligheid geven. Het uitvoeren van penetratietesten waarbij ethische hackers kwetsbaarheden proberen te vinden, zou aan minimale standaarden moeten voldoen.
Brenno de Winter, tijdelijk chief security & privacy operations bij het ministerie van Volksgezondheid, Welzijn en Sport (VWS), zei dit vandaag tijdens de Data Week NL in Den Bosch. De stuwende kracht achter de informatiebeveiliging en privacybescherming van de app CoronaMelder sprak daar tijdens de ‘live meeting’ Tech tegen Corona.
Gunstige resultaten van pentesten zeggen niet zo veel, meent De Winter. Hoewel Infectieradar.nl aan een pentest was onderworpen, bevatte deze site van het RIVM wel een ernstig lek. Aanvallers konden gemakkelijk binnenkomen. De pentesters hadden alleen maar een lijstje met zwakke punten aangereikt. Dat zegt niets over de mate van veiligheid.
Ronduit verkeerd ging het bij de gemeente Hof van Twente waar aanvallers alle data op servers overnamen. En dat terwijl de gemeente dacht al haar zaakjes prima op orde te hebben. Een pentest door Sogeti was immers goed doorstaan. Allerlei zwakheden en problemen, onder meer met de ftp-server, waren dit bedrijf ontgaan. Ook methodologisch bakte Sogeti er weinig van, zo bleek later uit forensisch onderzoek.
Volgens De Winter gaf de pentest geen enkele aanwijzing dat er iets mis was. Elk teken ontbrak dat de gemeente data kon verliezen. De cyberdeskundige begrijpt dat een pentest geen APK-keuring inhoudt. ‘Maar als je uit zo’n pentest enige zekerheid wilt ontlenen, is een meetlat nodig; een minimum standaard waaraan zo’n test moet voldoen.’
Internationale standaard
Als zoiets ontbreekt dan wordt de waarde van zo’n test betrekkelijk gering. Het enige doel is dan wat fouten te vinden. Maar bij zo’n beperkte doelstelling lees je alleen wat de onderzoekers is opgevallen, niet wat er daadwerkelijk is onderzocht. De Winter: ‘Veel leveranciers verzwijgen hoe ze onderzoek doen. Dat is ons bedrijfsgeheim, wordt er dan gezegd. Men spreekt dan van eigen magie.’ Maar volgens De Winter is het onzin daar niet transparant over te zijn. ‘Je moeten gewoon de normen kunnen nalopen om de waarde van zo’n onderzoek te kunnen bepalen. Daar is niets magisch aan.’
De CoronaMelder werd pas vrijgegeven nadat deze app tegen de meetlat van het Common Vulnerability Scoring System (CVSS) was gehouden, een internationale open standaard. Voor leveranciers kan die werkwijze wel even slikken zijn, stelt De Winter. ‘Want die zijn niet gewend aan internationale standaarden te voldoen.’
De Winter pleit voor het gebruik van open standaarden en regelmatig rapportages. ‘Dit vergroot het vertrouwen in de technologie die wordt gebruikt in de strijd tegen corona,’ zo besluit hij.
Brenno,
Dit artikel verbaast mij enorm. Waarom testen jullie coronacheck applicaties waarbij aansluitingen veilig moeten zijn, zelf met een simpele en automatische scanner? Het MinVWS schotelt securitybedrijven heel veel eisen voor waar ze aan moeten voldoen, maar zelf vuren jullie een automatische scanner af op de eindklant.
Hi Brenno, goed artikel. Handig om dit als je toch voor VWS bezig bent dit via Forum Standaaardisatie aan te dragen voor-pas-toe-of-leg-uit lijst om benodigde bestuurlijke aandacht te borgen.