Managed hosting door True

Pentesten kunnen vals gevoel van veiligheid geven

 

Gunstige resultaten van pentesten kunnen een vals gevoel van veiligheid geven. Het uitvoeren van penetratietesten waarbij ethische hackers kwetsbaarheden proberen te vinden, zou aan minimale standaarden moeten voldoen.

Brenno de Winter, tijdelijk chief security & privacy operations bij het ministerie van Volksgezondheid, Welzijn en Sport (VWS), zei dit vandaag tijdens de Data Week NL in Den Bosch. De stuwende kracht achter de informatiebeveiliging en privacybescherming van de app CoronaMelder sprak daar tijdens de 'live meeting' Tech tegen Corona. 

Gunstige resultaten van pentesten zeggen niet zo veel, meent De Winter. Hoewel Infectieradar.nl aan een pentest was onderworpen, bevatte deze site van het RIVM wel een ernstig lek. Aanvallers konden gemakkelijk binnenkomen. De pentesters hadden alleen maar een lijstje met zwakke punten aangereikt. Dat zegt niets over de mate van veiligheid.

Ronduit verkeerd ging het bij de gemeente Hof van Twente waar aanvallers alle data op servers overnamen. En dat terwijl de gemeente dacht al haar zaakjes prima op orde te hebben. Een pentest door Sogeti was immers goed doorstaan. Allerlei zwakheden en problemen, onder meer met de ftp-server, waren dit bedrijf ontgaan. Ook methodologisch bakte Sogeti er weinig van, zo bleek later uit forensisch onderzoek.

Volgens De Winter gaf de pentest geen enkele aanwijzing dat er iets mis was. Elk teken ontbrak dat de gemeente data kon verliezen. De cyberdeskundige begrijpt dat een pentest geen APK-keuring inhoudt. ‘Maar als je uit zo’n pentest enige zekerheid wilt ontlenen, is een meetlat nodig; een minimum standaard waaraan zo’n test moet voldoen.’

Internationale standaard

Als zoiets ontbreekt dan wordt de waarde van zo’n test betrekkelijk gering. Het enige doel is dan wat fouten te vinden. Maar bij zo’n beperkte doelstelling lees je alleen wat de onderzoekers is opgevallen, niet wat er daadwerkelijk is onderzocht. De Winter: 'Veel leveranciers verzwijgen hoe ze onderzoek doen. Dat is ons bedrijfsgeheim, wordt er dan gezegd. Men spreekt dan van eigen magie.’ Maar volgens De Winter is het onzin daar niet transparant over te zijn. ‘Je moeten gewoon de normen kunnen nalopen om de waarde van zo’n onderzoek te kunnen bepalen. Daar is niets magisch aan.’

De CoronaMelder werd pas vrijgegeven nadat deze app tegen de meetlat van het Common Vulnerability Scoring System (CVSS) was gehouden, een internationale open standaard. Voor leveranciers kan die werkwijze wel even slikken zijn, stelt De Winter. ‘Want die zijn niet gewend aan internationale standaarden te voldoen.’

De Winter pleit voor het gebruik van open standaarden en regelmatig rapportages. ‘Dit vergroot het vertrouwen in de technologie die wordt gebruikt in de strijd tegen corona,’ zo besluit hij.

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/7265352). © Jaarbeurs IT Media.

?


Lees ook


 

Reacties

Brenno,

Dit artikel verbaast mij enorm. Waarom testen jullie coronacheck applicaties waarbij aansluitingen veilig moeten zijn, zelf met een simpele en automatische scanner? Het MinVWS schotelt securitybedrijven heel veel eisen voor waar ze aan moeten voldoen, maar zelf vuren jullie een automatische scanner af op de eindklant.

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste resellernieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.