Als je iets niet wilt op het vlak van informatiebeveiliging, dan is het wel gehackt worden. Of misschien toch wel… Elke organisatie is te hacken, dus dan kun je dat maar het beste zelf laten doen, toch? Met een zogenaamde penetratietest, ofwel pentest, laat je experts in opdracht van de gemeente digitaal bij je inbreken om zo kwetsbaarheden op te sporen, zodat je die kunt oplossen. Maar hoe gaat zo’n pentest nu eigenlijk in zijn werk? En hoe ver mogen hackers gaan?
Gedurende een pentest probeert een team van ingehuurde beveiligingsspecialisten, ook wel ethische hackers genoemd, met jouw toestemming het beveiligingssysteem binnen jouw gemeente te omzeilen óf te doorbreken. Dit kan variëren van een simpele scan naar verouderde software/patches en toegang die openstaat, tot en met een grote nagebootste aanval. Er wordt dus geprobeerd om het systeem te hacken maar dan met goede bedoelingen, namelijk de gemeente inzicht te geven in de risico’s en kwetsbaarheden van het onderzochte systeem en anderzijds de beveiliging te verbeteren. Op die manier kom je er achter waar de risico’s en kwetsbaarheden zitten en voorkom je erger bij een echte hack.
Het is niet verplicht om als gemeente een pentest uit te laten voeren (behalve voor DigiD), toch raad ik je aan dit wel te doen. Immers wordt er in de BIO (18.2.3.1) aangegeven dat informatiesystemen regelmatig beoordeeld dienen te worden, bijvoorbeeld door middel van een pentest.
Er zijn verschillende soorten pentesten, die worden uitgedrukt in zogenaamde boxen. De box waarvoor je kiest bepaalt de mate waarin de tester op voorhand informatie heeft over het systeem en/of toegang heeft tot het systeem. Zo heb je de:
Daarnaast wordt er binnen het ‘pentest jargon’ ook nog onderscheid gemaakt in de time box en budget box. De time box bepaalt de doorlooptijd; bijvoorbeeld: hoe ver kan de ethische hacker in het systeem komen in 24 uur tijd? Wanneer er gebruik wordt gemaakt van een budget box, wordt er een kostenlimiet gekoppeld aan de pentest, wat in de praktijk het meeste voorkomt binnen gemeenten.
Overigens kun je deze begrippen in je offerteaanvraag beter achterwege laten, aangezien er verschillende interpretaties van de boxen kunnen bestaan. Wel is het goed om de boxen in je achterhoofd te houden bij de offerteaanvraag. Maar daarover vertel ik je later meer.
Wanneer is het nu zinvol om een pentest uit te voeren, zul je misschien denken. Dat verschilt uiteraard per gemeente en per situatie, maar over het algemeen zijn er meerdere momenten waarop het zinvol is een pentest uit te voeren:
Als je als gemeente niet zelf de kennis in huis hebt om een pentest uit te voeren, wordt een pentest vaak uitbesteed. Dit betekent niet dat je als gemeente alles rondom de pentest uit je handen kunt laten vallen. Je moet bij de uitbesteding enkele weloverwogen keuzes maken. Ik zet ze voor je op een rij:
Overigens kun je veel tijd besparen bij een volgende aanbestedings- of inkooptraject voor een kleine pentest door in de offerteaanvraag vast te leggen dat er ook een tweede pentest zal plaatsvinden, om zo een vergelijking te kunnen maken en te zien of de kwetsbaarheden zijn opgelost.
Misschien dat je denkt dat collega’s geen rol spelen bij een pentest en het puur een ‘technisch feestje’ is, maar dan heb je het mis. Voordat er een pentest wordt uitgevoerd moet er overwogen worden óf en welke collega’s vooraf op de hoogte worden gesteld. Het kan bijvoorbeeld verstandig zijn de IT-afdeling (of wanneer de IT is uitbesteed: de leverancier/datacenter) van tevoren te informeren omdat zij het netwerk monitoren en er bij de test wat toeters en bellen af kunnen gaan waar ze niets mee moeten doen. Daarnaast kan de IT-afdeling benaderd worden door collega’s indien hen iets vreemds opvalt. Collega’s die hoogstwaarschijnlijk niks merken van de pentest hoeven niet per se ingelicht te worden.
Overigens kunnen collega’s in de pentest ook een rol spelen als er door de tester gebruik wordt gemaakt van ‘social engineering’, in dat geval wordt door de tester geprobeerd informatie te achterhalen bij collega’s. Dan is het uiteraard verstandig om je collega’s niet vooraf te informeren om op die manier de test zo echt mogelijk te laten lijken.
Misschien dat je na het lezen van deze blog overweegt om aan de slag te gaan met een pentest binnen jouw gemeente. Houd er rekening mee dat het eindrapport van de pentest altijd een visie van de tester blijft maar het wel van groot belang is om ook verdere acties te ondernemen naar aanleiding van de resultaten.
Heb je naar aanleiding van deze blog of een uitgevoerde pentest aanvullende vragen of hulp nodig om op dit punt verder te komen binnen jouw gemeente? Neem dan gerust contact met ons op.
Om een in-house cursus in te plannen, neem contact met ons op!
Copyright © 2014 - 2021 IB&P B.V.
algemene voorwaarden - privacyverklaring.
responsible disclosure - sitemap