De Tweede Kamer wil een dam opwerpen tegen de beunhazerij op gebied van penetratietesten. Unaniem is een motie aangenomen van Six Dijkstra die oproept tot een gestandaardiseerde methodiek voor pentest-opdrachten. Het NSC-kamerlid denkt daarbij vooral aan de ‘Methodiek voor Informatiebeveiligingsonderzoek met Audit Waarde’ (Miauw), waarachter Brenno de Winter, specialist op gebied van cyberbeveiliging zit.
Zo’n gestandaardiseerde en gecontroleerde aanpak helpt bestuurders beter te begrijpen waar hun kwetsbaarheden liggen en hoe ze deze kunnen aanpakken. Zo valt ook eerder te voldoen aan wettelijke verplichtingen zoals NIS2, die bestuurders verantwoordelijk houdt voor de cyberveiligheid van hun organisaties. Six Dijkstra denkt dat het zin heeft om naast de keurmerken die momenteel bestaan voor pentesten ook het opdrachtgeverschap te verbeteren. Door uniforme eisen te stellen aan de inkoop van pentesten kan veel onheil worden voorkomen. Nu bestaat er rond pentesten nog een – wat De Winter noemt – zekere magie. Vaak is onduidelijk wat pentesters precies doen en hoe ze te werk gaan. Aan deze testen zijn dikwijls ook geen rechten te ontlenen.
Extra laag
Bij uniform pentesten worden alle bevindingen langs dezelfde meetlat gelegd (CVSS). Bovendien geldt een minimale set van eisen (Owasp, Mastg/WSTG en CIS-benchmarks). De Winter pleit ook voor een uniforme manier van presenteren (PTES), reproduceerbaarheid van het onderzoek en openbaarmaking. Miauw voegt een extra laag van controle toe door middel van audits. Dit betekent dat niet alleen de pentest zelf wordt uitgevoerd, maar ook het proces en de resultaten worden gecontroleerd door een onafhankelijke auditor. Dit verhoogt de betrouwbaarheid en transparantie van de pentest.
Staatssecretaris Zsolt Szabó (Digitalisering) merkte op dat er voor pentesten verschillende vormen, hulpmiddelen en methodieken beschikbaar zijn. Hij wil eerst met betrokken partijen bekijken wat de beste aanpak is voor de overheid. In februari 2024 bracht het Centrum voor Criminaliteitspreventie en Veiligheid (CCV) versie 2.0 uit van zijn certificatieschema voor pentesten. Miauw gaat echter verder dan alleen de uitvoering van de pentest omdat ook een gestandaardiseerde aanpak en extra controlemechanismen worden geboden.
Validatiecrisis
Recent publiceerde Brenno de Winter nog zijn boek ‘De Validatiecrisis’. Daarin waarschuwt de privacy-activist en security-expert voor het blinde vertrouwen dat leveranciers en gebruikers hebben in technologie.
Dit soort bewegingen krijg je als testers hun werk niet doen….