Skip to main content

Legaal hacken binnen je gemeente? Alles over de pentest


Als je iets niet wilt op het vlak van informatiebeveiliging, dan is het wel gehackt worden. Of misschien toch wel… Elke organisatie is te hacken, dus dan kun je dat maar het beste zelf laten doen, toch? Met een zogenaamde penetratietest, ofwel pentest, laat je experts in opdracht van de gemeente digitaal bij je inbreken om zo kwetsbaarheden op te sporen, zodat je die kunt oplossen. Maar hoe gaat zo’n pentest nu eigenlijk in zijn werk? En hoe ver mogen hackers gaan?

Legaal hacken

Gedurende een pentest probeert een team van ingehuurde beveiligingsspecialisten, ook wel ethische hackers genoemd, met jouw toestemming het beveiligingssysteem binnen jouw gemeente te omzeilen óf te doorbreken. Dit kan variëren van een simpele scan naar verouderde software/patches en toegang die openstaat, tot en met een grote nagebootste aanval. Er wordt dus geprobeerd om het systeem te hacken maar dan met goede bedoelingen, namelijk de gemeente inzicht te geven in de risico’s en kwetsbaarheden van het onderzochte systeem en anderzijds de beveiliging te verbeteren. Op die manier kom je er achter waar de risico’s en kwetsbaarheden zitten en voorkom je erger bij een echte hack.

Het is niet verplicht om als gemeente een pentest uit te laten voeren (behalve voor DigiD), toch raad ik je aan dit wel te doen. Immers wordt er in de BIO (18.2.3.1) aangegeven dat informatiesystemen regelmatig beoordeeld dienen te worden, bijvoorbeeld door middel van een pentest.

Soorten pentesten

Er zijn verschillende soorten pentesten, die worden uitgedrukt in zogenaamde boxen. De box waarvoor je kiest bepaalt de mate waarin de tester op voorhand informatie heeft over het systeem en/of toegang heeft tot het systeem. Zo heb je de:

  • Black box: de tester krijgt minimale voorkennis van het systeem.
  • Grey box: de tester krijgt gedeeltelijke informatie, bijvoorbeeld de inloggegevens van een account.
  • White box: de tester krijgt inzicht in alle aspecten van de systeemarchitectuur.
  • Crystal box: de tester krijgt de broncode, ofwel programmeertaal, van het systeem en toegang tot alle mogelijke configuratie-informatie.

Daarnaast wordt er binnen het ‘pentest jargon’ ook nog onderscheid gemaakt in de time box en budget box. De time box bepaalt de doorlooptijd; bijvoorbeeld: hoe ver kan de ethische hacker in het systeem komen in 24 uur tijd? Wanneer er gebruik wordt gemaakt van een budget box, wordt er een kostenlimiet gekoppeld aan de pentest, wat in de praktijk het meeste voorkomt binnen gemeenten.

Overigens kun je deze begrippen in je offerteaanvraag beter achterwege laten, aangezien er verschillende interpretaties van de boxen kunnen bestaan. Wel is het goed om de boxen in je achterhoofd te houden bij de offerteaanvraag. Maar daarover vertel ik je later meer.

Timing

Wanneer is het nu zinvol om een pentest uit te voeren, zul je misschien denken. Dat verschilt uiteraard per gemeente en per situatie, maar over het algemeen zijn er meerdere momenten waarop het zinvol is een pentest uit te voeren:

  • Wanneer er net een nieuw systeem of applicatie binnen de gemeente is uitgerold.
  • Wanneer er (substantiële) wijzigingen zijn doorgevoerd in het systeem.
  • Wanneer er een reden is om aan te nemen dat het systeem minder goed beveiligd is dan gedacht.
  • Op periodieke basis, bijvoorbeeld jaarlijks bij de DigiD audit. Maar let op, een pentest op je DigiD wil nog niet zeggen dat er ook naar de rest van je netwerk wordt gekeken.

Uitbesteden van de pentest

Als je als gemeente niet zelf de kennis in huis hebt om een pentest uit te voeren, wordt een pentest vaak uitbesteed. Dit betekent niet dat je als gemeente alles rondom de pentest uit je handen kunt laten vallen. Je moet bij de uitbesteding enkele weloverwogen keuzes maken. Ik zet ze voor je op een rij:

  • Uiteraard zal er allereerst een opdrachtomschrijving gemaakt moeten worden, die de onderzoeksvraag omvat. Met welk doel laat je het onderzoek uitvoeren?
  • Stel vast welke achtergrondinformatie de testers tot hun beschikking krijgen, houd hierbij de eerder besproken boxen in je achterhoofd. Overigens kun je de vraag ook om draaien: welke informatie is volgens de testers zinvol om vooraf te hebben?
  • Bepaal de omgeving en diepgang van de test, ofwel de scoping van de test die je wilt laten uitvoeren; gaat het bijvoorbeeld alleen om DigiD, of wil je ook het zaaksysteem meenemen?
  • Maak voor jezelf en voor de leverancier een duidelijke planning; houd daarbij rekening met momenten waarop het minder goed uitkomt om een pentest uit te voeren binnen je organisatie. Bijvoorbeeld vlak voor de zomervakantie wanneer er veel paspoorten worden aangevraagd of wanneer een systeem op dat moment veranderingen ondergaat. Bepaal ook de doorlooptijd en deadline van de pentest, dit kan mede afhankelijk zijn van het verantwoordingstraject waar je in zit (bijv. ENSIA).
  • Bepaal op welke manier je de kosten in de offerte gespecificeerd wilt hebben. Dit kan op basis van nacalculatie, een vaste prijs of door middel van een combinatie van beiden.
  • De resultaten die uit de pentest komen zijn uiteraard van grote waarde voor de gemeente, geef daarom van tevoren aan welke gegevens de rapportage moet bevatten. Hierbij kun je denken aan:
    • De gebruikte applicatie(s).
    • De gebruikte parameters, zodat je een eerlijke vergelijking kunt maken met andere testen en er ook een duidelijk onderscheid is in de resultaten.
    • Het tijdstip waarop de pentest is uitgevoerd.
    • Het IP-adres waarvandaan de pentest is uitgevoerd.
    • De verbeterpunten, inclusief toelichting en prioritering.
      Ik raad aan om direct na de test een afspraak in te plannen met de tester om de resultaten te bespreken, zo kun je eventuele latere meningsverschillen voorkomen.
  • Vraag aan de leverancier hoe het staat met de integriteit en screening van hun eigen testers. Zorg er ook voor dat je het cv van de tester(s) hebt gezien en dat, na goedkeuring, deze persoon ook daadwerkelijk de pentest uitvoert.
  • Vraag ook in je offerteaanvraag om een stappenplan.
  • Wat soms ook vergeten wordt is dat het verstandig is dat je de leverancier vooraf vraagt naar de voorwaarden van hun beroepsaansprakelijkheidsverzekering, om ervan uit te kunnen gaan dat eventuele schade ook daadwerkelijk kan worden vergoed.
  • Stel eisen over de manier van communicatie met de leverancier; wie is bijvoorbeeld bij beide partijen het aanspreekpunt tijdens de pentest?
  • Ten slotte, spreek ook af hoe er wordt omgegaan met (privacy)gevoelige informatie tijdens maar ook na de pentest.

Overigens kun je veel tijd besparen bij een volgende aanbestedings- of inkooptraject voor een kleine pentest door in de offerteaanvraag vast te leggen dat er ook een tweede pentest zal plaatsvinden, om zo een vergelijking te kunnen maken en te zien of de kwetsbaarheden zijn opgelost.

Collega’s

Misschien dat je denkt dat collega’s geen rol spelen bij een pentest en het puur een ‘technisch feestje’ is, maar dan heb je het mis. Voordat er een pentest wordt uitgevoerd moet er overwogen worden óf en welke collega’s vooraf op de hoogte worden gesteld. Het kan bijvoorbeeld verstandig zijn de IT-afdeling (of wanneer de IT is uitbesteed: de leverancier/datacenter) van tevoren te informeren omdat zij het netwerk monitoren en er bij de test wat toeters en bellen af kunnen gaan waar ze niets mee moeten doen. Daarnaast kan de IT-afdeling benaderd worden door collega’s indien hen iets vreemds opvalt. Collega’s die hoogstwaarschijnlijk niks merken van de pentest hoeven niet per se ingelicht te worden.

Overigens kunnen collega’s in de pentest ook een rol spelen als er door de tester gebruik wordt gemaakt van ‘social engineering’, in dat geval wordt door de tester geprobeerd informatie te achterhalen bij collega’s. Dan is het uiteraard verstandig om je collega’s niet vooraf te informeren om op die manier de test zo echt mogelijk te laten lijken.

Aan de slag

Misschien dat je na het lezen van deze blog overweegt om aan de slag te gaan met een pentest binnen jouw gemeente. Houd er rekening mee dat het eindrapport van de pentest altijd een visie van de tester blijft maar het wel van groot belang is om ook verdere acties te ondernemen naar aanleiding van de resultaten.

Heb je naar aanleiding van deze blog of een uitgevoerde pentest aanvullende vragen of hulp nodig om op dit punt verder te komen binnen jouw gemeente? Neem dan gerust contact met ons op.


Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…