Als je iets niet wilt op het vlak van informatiebeveiliging, dan is het wel gehackt worden. Of misschien toch wel… Elke organisatie is te hacken, dus dan kun je dat maar het beste zelf laten doen, toch? Met een zogenaamde penetratietest, ofwel pentest, laat je experts in opdracht van de gemeente digitaal bij je inbreken om zo kwetsbaarheden op te sporen, zodat je die kunt oplossen. Maar hoe gaat zo’n pentest nu eigenlijk in zijn werk? En hoe ver mogen hackers gaan?

Legaal hacken

Gedurende een pentest probeert een team van ingehuurde beveiligingsspecialisten, ook wel ethische hackers genoemd, met jouw toestemming het beveiligingssysteem binnen jouw gemeente te omzeilen óf te doorbreken. Dit kan variëren van een simpele scan naar verouderde software/patches en toegang die openstaat, tot en met een grote nagebootste aanval. Er wordt dus geprobeerd om het systeem te hacken maar dan met goede bedoelingen, namelijk de gemeente inzicht te geven in de risico’s en kwetsbaarheden van het onderzochte systeem en anderzijds de beveiliging te verbeteren. Op die manier kom je er achter waar de risico’s en kwetsbaarheden zitten en voorkom je erger bij een echte hack.

Het is niet verplicht om als gemeente een pentest uit te laten voeren (behalve voor DigiD), toch raad ik je aan dit wel te doen. Immers wordt er in de BIO (18.2.3.1) aangegeven dat informatiesystemen regelmatig beoordeeld dienen te worden, bijvoorbeeld door middel van een pentest.

Soorten pentesten

Er zijn verschillende soorten pentesten, die worden uitgedrukt in zogenaamde boxen. De box waarvoor je kiest bepaalt de mate waarin de tester op voorhand informatie heeft over het systeem en/of toegang heeft tot het systeem. Zo heb je de:

• Black box: de tester krijgt minimale voorkennis van het systeem.
• Grey box: de tester krijgt gedeeltelijke informatie, bijvoorbeeld de inloggegevens van een account.
• White box: de tester krijgt inzicht in alle aspecten van de systeemarchitectuur.
• Crystal box: de tester krijgt de broncode, ofwel programmeertaal, van het systeem en toegang tot alle mogelijke configuratie-informatie.

Daarnaast wordt er binnen het ‘pentest jargon’ ook nog onderscheid gemaakt in de time box en budget box. De time box bepaalt de doorlooptijd; bijvoorbeeld: hoe ver kan de ethische hacker in het systeem komen in 24 uur tijd? Wanneer er gebruik wordt gemaakt van een budget box, wordt er een kostenlimiet gekoppeld aan de pentest, wat in de praktijk het meeste voorkomt binnen gemeenten.

Overigens kun je deze begrippen in je offerteaanvraag beter achterwege laten, aangezien er verschillende interpretaties van de boxen kunnen bestaan. Wel is het goed om de boxen in je achterhoofd te houden bij de offerteaanvraag. Maar daarover vertel ik je later meer.

Timing

Wanneer is het nu zinvol om een pentest uit te voeren, zul je misschien denken. Dat verschilt uiteraard per gemeente en per situatie, maar over het algemeen zijn er meerdere momenten waarop het zinvol is een pentest uit te voeren:

• Wanneer er net een nieuw systeem of applicatie binnen de gemeente is uitgerold.
• Wanneer er (substantiële) wijzigingen zijn doorgevoerd in het systeem.
• Wanneer er een reden is om aan te nemen dat het systeem minder goed beveiligd is dan gedacht.
• Op periodieke basis, bijvoorbeeld jaarlijks bij de DigiD audit. Maar let op, een pentest op je DigiD wil nog niet zeggen dat er ook naar de rest van je netwerk wordt gekeken.

Uitbesteden van de pentest

Als je als gemeente niet zelf de kennis in huis hebt om een pentest uit te voeren, wordt een pentest vaak uitbesteed. Dit betekent niet dat je als gemeente alles rondom de pentest uit je handen kunt laten vallen. Je moet bij de uitbesteding enkele weloverwogen keuzes maken. Ik zet ze voor je op een rij:

• Uiteraard zal er allereerst een opdrachtomschrijving gemaakt moeten worden, die de onderzoeksvraag omvat. Met welk doel laat je het onderzoek uitvoeren?
• Stel vast welke achtergrondinformatie de testers tot hun beschikking krijgen, houd hierbij de eerder besproken boxen in je achterhoofd. Overigens kun je de vraag ook om draaien: welke informatie is volgens de testers zinvol om vooraf te hebben?
• Bepaal de omgeving en diepgang van de test, ofwel de scoping van de test die je wilt laten uitvoeren; gaat het bijvoorbeeld alleen om DigiD, of wil je ook het zaaksysteem meenemen?
• Maak voor jezelf en voor de leverancier een duidelijke planning; houd daarbij rekening met momenten waarop het minder goed uitkomt om een pentest uit te voeren binnen je organisatie. Bijvoorbeeld vlak voor de zomervakantie wanneer er veel paspoorten worden aangevraagd of wanneer een systeem op dat moment veranderingen ondergaat. Bepaal ook de doorlooptijd en deadline van de pentest, dit kan mede afhankelijk zijn van het verantwoordingstraject waar je in zit (bijv. ENSIA).
• Bepaal op welke manier je de kosten in de offerte gespecificeerd wilt hebben. Dit kan op basis van nacalculatie, een vaste prijs of door middel van een combinatie van beiden.
• De resultaten die uit de pentest komen zijn uiteraard van grote waarde voor de gemeente, geef daarom van tevoren aan welke gegevens de rapportage moet bevatten. Hierbij kun je denken aan:
  • De gebruikte applicatie(s).
  • De gebruikte parameters, zodat je een eerlijke vergelijking kunt maken met andere testen en er ook een duidelijk onderscheid is in de resultaten.
  • Het tijdstip waarop de pentest is uitgevoerd.
  • Het IP-adres waarvandaan de pentest is uitgevoerd.
  • De verbeterpunten, inclusief toelichting en prioritering.
    Ik raad aan om direct na de test een afspraak in te plannen met de tester om de resultaten te bespreken, zo kun je eventuele latere meningsverschillen voorkomen.
• Vraag aan de leverancier hoe het staat met de integriteit en screening van hun eigen testers. Zorg er ook voor dat je het cv van de tester(s) hebt gezien en dat, na goedkeuring, deze persoon ook daadwerkelijk de pentest uitvoert.
• Vraag ook in je offerteaanvraag om een stappenplan.
• Wat soms ook vergeten wordt is dat het verstandig is dat je de leverancier vooraf vraagt naar de voorwaarden van hun beroepsaansprakelijkheidsverzekering, om ervan uit te kunnen gaan dat eventuele schade ook daadwerkelijk kan worden vergoed.
• Stel eisen over de manier van communicatie met de leverancier; wie is bijvoorbeeld bij beide partijen het aanspreekpunt tijdens de pentest?
• Ten slotte, spreek ook af hoe er wordt omgegaan met (privacy)gevoelige informatie tijdens maar ook na de pentest.

Overigens kun je veel tijd besparen bij een volgende aanbestedings- of inkooptraject voor een kleine pentest door in de offerteaanvraag vast te leggen dat er ook een tweede pentest zal plaatsvinden, om zo een vergelijking te kunnen maken en te zien of de kwetsbaarheden zijn opgelost.

Collega’s

Misschien dat je denkt dat collega’s geen rol spelen bij een pentest en het puur een ‘technisch feestje’ is, maar dan heb je het mis. Voordat er een pentest wordt uitgevoerd moet er overwogen worden óf en welke collega’s vooraf op de hoogte worden gesteld. Het kan bijvoorbeeld verstandig zijn de IT-afdeling (of wanneer de IT is uitbesteed: de leverancier/datacenter) van tevoren te informeren omdat zij het netwerk monitoren en er bij de test wat toeters en bellen af kunnen gaan waar ze niets mee moeten doen. Daarnaast kan de IT-afdeling benaderd worden door collega’s indien hen iets vreemds opvalt. Collega’s die hoogstwaarschijnlijk niks merken van de pentest hoeven niet per se ingelicht te worden.

Overigens kunnen collega’s in de pentest ook een rol spelen als er door de tester gebruik wordt gemaakt van ‘social engineering’, in dat geval wordt door de tester geprobeerd informatie te achterhalen bij collega’s. Dan is het uiteraard verstandig om je collega’s niet vooraf te informeren om op die manier de test zo echt mogelijk te laten lijken.

Aan de slag

Misschien dat je na het lezen van deze blog overweegt om aan de slag te gaan met een pentest binnen jouw gemeente. Houd er rekening mee dat het eindrapport van de pentest altijd een visie van de tester blijft maar het wel van groot belang is om ook verdere acties te ondernemen naar aanleiding van de resultaten.

Heb je naar aanleiding van deze blog of een uitgevoerde pentest aanvullende vragen of hulp nodig om op dit punt verder te komen binnen jouw gemeente? Neem dan gerust contact met ons op.