Gunstige resultaten van pentesten kunnen een vals gevoel van veiligheid geven. Het uitvoeren van penetratietesten waarbij ethische hackers kwetsbaarheden proberen te vinden, zou aan minimale standaarden moeten voldoen.

Brenno de Winter, tijdelijk chief security & privacy operations bij het ministerie van Volksgezondheid, Welzijn en Sport (VWS), zei dit vandaag tijdens de Data Week NL in Den Bosch. De stuwende kracht achter de informatiebeveiliging en privacybescherming van de app CoronaMelder sprak daar tijdens de ‘live meeting’ Tech tegen Corona. 

Gunstige resultaten van pentesten zeggen niet zo veel, meent De Winter. Hoewel Infectieradar.nl aan een pentest was onderworpen, bevatte deze site van het RIVM wel een ernstig lek. Aanvallers konden gemakkelijk binnenkomen. De pentesters hadden alleen maar een lijstje met zwakke punten aangereikt. Dat zegt niets over de mate van veiligheid.

Ronduit verkeerd ging het bij de gemeente Hof van Twente waar aanvallers alle data op servers overnamen. En dat terwijl de gemeente dacht al haar zaakjes prima op orde te hebben. Een pentest door Sogeti was immers goed doorstaan. Allerlei zwakheden en problemen, onder meer met de ftp-server, waren dit bedrijf ontgaan. Ook methodologisch bakte Sogeti er weinig van, zo bleek later uit forensisch onderzoek.

Deze versturen we 3-4x per jaar.