Ministerie van Volksgezondheid, Welzijn & Sport vraagt NFIR om corona-app te pentesten

We zijn zeer vereerd dat het ministerie van Volksgezondheid, Welzijn & Sport (VWS) NFIR heeft gevraagd om de corona-app uitvoerig te laten pentesten. Wij zullen de technische weerbaarheid van deze mobiele app onder de loep te nemen.

“Het ministerie gaat de komende tijd hackers inschakelen om de veiligheid van de app te testen. Dat bevestigt cybersecurityexpert Brenno de Winter, die bij de ontwikkeling van de corona-app de digitale veiligheid en privacy in de gaten houdt. Daarvoor worden hackers van de Rijksoverheid en van cybersecuritybedrijf NFIR BV ingeschakeld, waarvan de ontdekkingen door een onafhankelijke derde partij worden gecontroleerd.”

De app wordt in volledige openbaarheid ontwikkeld door de techneuten van het ministerie van VWS. Het ministerie heeft daarbij de hulp ingeroepen van een aantal externe experts en partijen, waaronder NFIR. NFIR zal de komende tijd de veiligheid van de app gaan testen. Ook wordt er samengewerkt met de Belastingdienst, die de technische infrastructuur beschikbaar stelt.    

De app, die moet bijdragen helder te krijgen met wie coronapatiënten in contact zijn geweest, wordt vanaf volgende week getest door een groep inwoners van Twente. Er wordt gebruik gemaakt van bluetooth-technologie om te bepalen of iemand in de buurt van een besmet persoon is geweest. De app werkt alleen als beide partijen de app hebben geïnstalleerd.

Lees hier het artikel op RTL Nieuws over dit onderwerp:
https://www.rtlnieuws.nl/tech/artikel/5161781/corona-app-belastingdienst-test-juli-privacy-security

 

Hackers van NFIR

Het ministerie gaat de komende tijd ethische hackers van cybersecuritybedrijf NFIR inschakelen om de veiligheid van de app te testen. Ook wordt er gekeken naar een zogeheten bug bounty, waarbij het ministerie hackers uitnodigt om de app te testen. Als een hacker dan een lek vindt, krijgt hij of zij een beloning.

Onze pentesters beschikken over een grote hoeveelheid ervaring, veel creativiteit en actuele vakkennis. De pentesters van NFIR hebben relevante opleidingen gevolgd en certificeringen als OSCP behaald. Daarnaast hebben zij allemaal korpschefgoedkeuring gekregen en geheimhouding ondertekend.

Hoe lang een pentest duurt is sterk afhankelijk van de omgeving die getest moet worden en de afspraken die met de opdrachtgever worden gemaakt over de in te zetten aanvalsscenario’s.

  1. Een vulnerability scan geeft een algemeen beeld van hoe de IT-security geregeld is. Een pentest geeft een meer gedetailleerd beeld van de huidige IT-security.
  2. Met een vulnerablity scan worden algemeen bekende kwetsbaarheden gevonden. Bij een pentest bestaat aandacht voor alle potentiële zwakheden.
  3. Bij vulnerabilityscanning wordt gebruik gemaakt van geautomatiseerde scans om kwetsbaarheden te ontdekken. Bij een pentest wordt ook gebruik van gemaakt geautomatiseerde scans en daarnaast gaat de onderzoeker middels een dosis creativiteit actief op zoek naar kwetsbaarheden. 

Pentest of vulnerability-assessment? – Penetratietest laten uitvoeren? – Neem nu contact op met NFIR

Een Black Box pentest houdt in dat vooraf geen informatie over de omgeving wordt gedeeld met de pentesters. Met een pentest op basis van het White Box-principe wordt alle informatie over de omgeving van tevoren gedeeld. Als u voor het eerst een pentest laat uitvoeren en daarbij een algemeen beeld wilt krijgen van uw beveiliging, is het nuttig om een Black Box pentest uit te laten voeren.
Een Black Box pentest is voornamelijk geschikt als een omgeving voor het eerst gepentest wordt en u een algemeen beeld wilt krijgen van de beveiliging. Een Grey Box-penetratietest is een tussenvorm van de Black Box en White Box pentest, waarbij de onderzoekers beperkte inloggegevens en -informatie ter beschikking hebben. De Grey Box pentest wordt over het algemeen toegepast om te kijken hoe veilig een omgeving is vanuit het perspectief van een medewerker of klant.
Maak met elkaar afspraken wanneer de informatie aangeleverd moet zijn, wanneer de pentest zal gaan plaatsvinden, wat de pentest betekent voor de dagelijkse gang van zaken binnen uw bedrijf en wanneer de rapportage opgeleverd zal worden. De opdracht moet helder zijn en de informatie die van te voren benodigd is, moet tijdig aangeleverd zijn, anders kan een pentest niet van start gaan.

De NFIR Pentest: hoe ondoordringbaar is uw netwerk?

Met de NFIR Pentest kunt u zekerheid en advies krijgen over de veiligheid van uw netwerk. NFIR voor vrijblijvend advies: 088 – 323 0205

De drie belangrijke standaarden die NFIR gebruikt (afhankelijk van de te testen omgeving) zijn de Penetration Execution Standard (PTES), Open Source Security Testing Methodology Manual (OSSTMM) en het Open Web Application Security Project (OWASP). Door middel van het Common Vulnerability Scoring System (versie 3) wordt de ernst van een kwetsbaarheid bepaald. Verder gebruikt NFIR input van de opdrachtgever om een CIA weging toe te passen op de gevonden kwetsbaarheden.