Kamer wil pentestopdrachten overheidsbreed standaardiseren
De Tweede Kamer heeft dinsdag ingestemd met een motie om pentest-opdrachten overheidsbreed te standaardiseren. Een penetratietest of kortweg pentest is een onderzoek of er zwakheden in een ict-systeem zitten die tot misbruik kunnen leiden. De staatssecretaris laat onderzoek doen naar een geschikte methodiek.
De motie is afkomstig van NSC-Kamerlid Jesse Six Dijkstra. Hij wijst er in de motie onder meer op dat veel succesvolle cyberaanvallen mogelijk zijn door voorzienbare beveiligingsfouten die ook bij pentests over het hoofd worden gezien, dat er mystiek heerst rond het inzetten van hackers voor pentest en dat er daardoor maar weinig controle op pentests plaatsvindt. Daarom wil hij dat er een gestandaardiseerde methodiek voor pentest-opdrachten wordt ontwikkeld, zoals de Methodiek voor Informatiebeveiligingsonderzoek met Audit Waarde (MIAUW).
De afkorting leverde wat opmerkingen en gelach op in de Kamer (had men het nou goed gehoord?), maar de motie werd unaniem aangenomen. Staatssecretaris digitalisering Szabó stelde in het debat van vorige week over informatiebeveiliging bij de overheid wel dat er al veel methodieken zijn. ‘Ik houd de ontwikkelingen rond MIAUW vanzelfsprekend graag in de gaten, maar ik vind het belangrijk om zorgvuldig met stakeholders te bekijken wat de haalbaarheid en wenselijkheid van de verschillende methodieken is en wat de beste aanpak is voor de overheid,’ aldus Szabó.
Zekerheid voor bestuurders
MIAUW is een methode van cyberveiligheidsexpert en kattenliefhebber Brenno de Winter, nu nog werkzaam bij het ministerie van VWS. ‘Ik was het niet gaan doen als het er al was,’ zegt hij. De keurmerken en methodieken waar de staatssecretaris op doelt, zijn voor leveranciers van pentests, benadrukte ook Six Dijkstra in de Kamer. Hij wil juist dat de bestuurders, die onder NIS2 verantwoordelijk zijn voor cyberveiligheid, meer zekerheid hebben dat de pentest die ze laten afnemen ook echt iets voorstelt.
Auditor checkt proces
De Winter is blij dat de Kamer het belang inziet een gestandaardiseerde methodiek voor pentest-opdrachten. ‘In onze methodiek wijzen we gewoon op open standaarden,’ zegt hij. ‘En we passen er een paar regels aan toe die erg logisch zijn en voorkomen dat overheden opnieuw het wiel gaan uitvinden.’
Het enige wat volgens De Winter echt nieuw is aan de methodiek, is de toevoeging van een auditor die controleert of het proces goed is doorlopen. ‘Dat rapport van de auditor kun je gebruiken om in je verkoopketen te laten zien hoe je ervoor staat. Dat is nodig om onder NIS2 meer controle te hebben. Je hebt nog steeds marktpartijen die gewoon verbieden dat je de pentest aan derde partijen verstrekt. Dat draaien wij om. De klant beslist in dezen.’
Lees ook:
Goeie actie, maar voeg een gestandaardiseerde pentest-aanpak dan wel meteen samen met een staatsbreed data governance framework. Dat zou niet alleen een logische stap zijn voor het verbeteren van de cyberveiligheid binnen de overheidssector, maar ook een essentiële beweging richting het voldoen aan de groeiende eisen van wet- en regelgeving, zoals de aanstormende EU Gegevenswet.
Al die legacy organisaties gaan natuurlijk enorme uitdagingen krijgen bij de implementatie van een standaard penetratietest (als die al bestaat), want geen van allen heeft een robuust en geïntegreerd kader voor data governance op orde. Terwijl als we hier wel op inzetten we stappen kunnen zetten richting de real-time auditing, real-time monitoring en real time asset management die past bij een dreigingsbeeld dat – dankzij AI – per milliseconde kan evolueren.
De gemiddelde overheidsorganisatie kampt met zowel technische, operationele, culturele en zelfs strategische uitdagingen, als je een pentest standaardiseert. Voorbeeld: legacy systemen kunnen verouderde technologieën bevatten die niet volledig compatibel zijn met de hulpmiddelen en technieken die gebruikt worden in moderne pentests. Ze zijn onvolledig (of verouderd) gedocumenteerd, wat het moeilijk maakt om de systemen grondig te analyseren en te testen, want je hebt geen idee waar het ene systeem begint en het ander eindigt. Los van versies en varianten.
Misschien hebben die overheidspartijen onvoldoende medewerkers met de benodigde expertise in cybersecurity en de nieuwste pentest methodieken, wat het lastig maakt om de uitkomsten te interpreteren. Nog los of ze er überhaupt op zitten te wachten dat er onder de motorkap gekeken wordt. Het wijzigen van de status quo kan best geïnterpreteerd worden als kritiek voor de huidige manier van werken, al was het maar omdat culturele weerstand al kan optreden als er ook maar de perceptie is dat pentests een negatieve impact kunnen hebben op de reputatie van de IT-afdeling of de organisatie als geheel. Veel agenda’s zijn al zo vol gepland, dat het interessant wordt om de extra middelen toe te wijzen aan cybersecurity inspanningen. Nog los van de vraag of die legacy systemen wellicht opereren in binnen een complex regelgevend kader dat specifieke eisen stelt aan de beveiliging en de wijze waarop pentests moeten worden uitgevoerd. Daarna moeten de test resultaten nog eens verwerkt worden in bestaande risicobeheersings- en mitigatieprocessen die niet zelden state-of-the-art 1848 zijn. Wel erg goed om wat vragen beantwoord te krijgen!
Wat zijn de specifieke ICT-systemen of -componenten binnen de overheid waarvoor de pentest uitgevoerd moet worden? Zijn er bepaalde systemen die prioriteit hebben vanwege hun gevoeligheid of blootstelling aan risico’s? Wat is het primaire doel van de pentest? Is het om specifieke kwetsbaarheden te identificeren, de effectiviteit van bestaande beveiligingsmaatregelen te testen, of beide? Hoe moeten de resultaten van de pentest gebruikt worden door overheidsinstanties? Welke criteria worden gebruikt om de geschiktheid van de MIAUW-methodiek of een andere pentest-methodiek te beoordelen voor overheidsbrede toepassing? Hoe kan de MIAUW-methodiek, inclusief de rol van een auditor, worden geïntegreerd in de bestaande processen van overheidsinstanties? Hoe wordt bepaald welke partijen gekwalificeerd zijn om de pentests uit te voeren volgens de gekozen methodiek? Welke stappen worden ondernomen om ervoor te zorgen dat de pentest real-time inzicht geeft in de beveiligingsstatus van systemen zonder deze te verstoren? Hoe wordt de rapportage van de pentestresultaten gestructureerd om nuttig en actiegericht te zijn voor bestuurders onder NIS2? Welke mechanismen worden opgezet om te garanderen dat aanbevelingen uit pentestrapporten tijdig en effectief worden opgevolgd? Op welke wijze worden stakeholders betrokken bij de keuze en implementatie van de pentest-methodiek? Hoe wordt transparantie gewaarborgd in het proces, vooral in relatie tot de inzet van externe auditors? Hoe zorgt de gekozen pentest-methodiek ervoor dat overheidsinstanties voldoen aan NIS2 en andere relevante wet- en regelgeving? Op welke manier worden de resultaten van pentests gebruikt om de algehele cyberveiligheid binnen de overheid te verbeteren en te voldoen aan wettelijke vereisten? Vragen die zeker bij het opzetten van een gestandaardiseerde methodiek zouden moeten worden beantwoord.