Artikel 27 oktober 2021

Pentesten kunnen vals gevoel van veiligheid geven

Gunstige resultaten van pentesten kunnen een vals gevoel van veiligheid geven. Het uitvoeren van penetratietesten waarbij ethische hackers kwetsbaarheden proberen te vinden, zou aan minimale standaarden moeten voldoen.

Brenno de Winter, tijdelijk chief security & privacy operations bij het ministerie van Volksgezondheid, Welzijn en Sport (VWS), zei dit vandaag tijdens de Data Week NL in Den Bosch. De stuwende kracht achter de informatiebeveiliging en privacybescherming van de app CoronaMelder sprak daar tijdens de ‘live meeting’ Tech tegen Corona. 

Gunstige resultaten van pentesten zeggen niet zo veel, meent De Winter. Hoewel Infectieradar.nl aan een pentest was onderworpen, bevatte deze site van het RIVM wel een ernstig lek. Aanvallers konden gemakkelijk binnenkomen. De pentesters hadden alleen maar een lijstje met zwakke punten aangereikt. Dat zegt niets over de mate van veiligheid.

Ronduit verkeerd ging het bij de gemeente Hof van Twente waar aanvallers alle data op servers overnamen. En dat terwijl de gemeente dacht al haar zaakjes prima op orde te hebben. Een pentest door Sogeti was immers goed doorstaan. Allerlei zwakheden en problemen, onder meer met de ftp-server, waren dit bedrijf ontgaan. Ook methodologisch bakte Sogeti er weinig van, zo bleek later uit forensisch onderzoek.

Volgens De Winter gaf de pentest geen enkele aanwijzing dat er iets mis was. Elk teken ontbrak dat de gemeente data kon verliezen. De cyberdeskundige begrijpt dat een pentest geen APK-keuring inhoudt. ‘Maar als je uit zo’n pentest enige zekerheid wilt ontlenen, is een meetlat nodig; een minimum standaard waaraan zo’n test moet voldoen.’

Lees het volledige artikel op computable.nl

Ook interessant