NFIR test na CoronaMelder ook GGD Registratieportaal

De GGD is momenteel een van de grootste persoonsinformatie verwerkers binnen het gezondheidsdomein. Sinds de eerste lockdown in maart is met de vergrote testcapaciteit ook het aantal tests op corona toegenomen. In opdracht van GGD GHOR heeft Bizway een registratieportaal ontwikkeld voor een efficiëntere testuitslag verwerking. NFIR en Fox IT hebben het portaal gepentest op veiligheid om een security incident te voorkomen. De eerste resultaten zijn hoopvol. 

Het GGD Registratieportaal. De oplossing voor de coronadruk?

Momenteel bevindt Nederland zich in een tweede lockdown die inmiddels verlengd is wegens de te hoge besmettingscijfers. Nog dagelijks worden rond de zes- en achtduizend positieve testuitslagen gemeld. Het totale aantal uitslagen zal nog veel hoger liggen. Dit resulteert in roodgloeiende telefoonlijnen en een administratieve rompslomp. Na het opschalen van de capaciteit in de teststraten en callcenters wil het GGD GHOR nu een efficiëntie slag maken in de registratie van de testuitslagen. Zij hebben Bizway de opdracht gegeven om een semi-geautomatiseerd registratieportaal te ontwikkelen. Bizway heeft het GGD Registratieportaal in samenwerking met Mediasoep ontwikkelt. Dit portaal biedt de mogelijkheid aan eenieder die coronatests uitvoert, de uitslagen op geautomatiseerde wijze te registreren. De efficiëntie van dit portaal zal alleen tot uiting komen wanneer de applicatie gebruiksvriendelijk is en wanneer deze weerbaar is tegen een security incident. NFIR heeft deze weerbaarheid met haar ethisch hackers gepentest en geanalyseerd. 

Eerder in augustus heeft NFIR de CoronaMelder getest in opdracht van Ministerie van Volksgezondheid, Welzijn en Sport. Deze applicatie verwerkt evenals het GGD Registratieportaal veel persoonsgegevens en dient daarom ook te voldoen aan alle beveiligingsvoorwaarden om de privacy van de gebruikers te waarborgen. De resultaten van deze test kun je hier binnenkort teruglezen. Het verschil tussen de CoronaMelder en het GGD Registratieportaal is dat de data uit de CoronaMelder vooral voorafgaand aan het testen van belang is en bij het registratieportaal het gaat om data na het testen. Overeenkomstig met elkaar verwerken beide applicaties privacygevoelige gegevens. Deze gegevens dienen extra goed beveiligd te worden om de kans op kostbaar dataverlies zoveel mogelijk te beperken. Een security incident is niet volledig worden uitgesloten, maar het risico kan met een pentest teruggebracht worden tot een minimum. Een pentest toont namelijk nauwkeurig aan welke kwetsbaarheden een systeem kent en hoe deze kwetsbaarheden kunnen worden opgelost. 

Eerste testresultaten GGD Registratieportaal

Voor het pentesten van het GGD Registratieportaal heeft Bizway NFIR en Fox IT ingeschakeld. NFIR test de bevindingen van Fox IT opnieuw en dient als extra controle laag. De eerste testfase is afgerond en heeft al de eerste testresultaten opgeleverd. Uit deze eerste pentesten is gebleken dat het Registratieportaal over het algemeen goed beschermd is. De test toonde geen hoog risico aan. Sterker nog, het hoogste risico werd geclassificeerd als “gemiddeld.” De resultaten van een pentest worden aan de hand van het Common Vulnerability Scoring System (CVSS 3.1) gerapporteerd. Deze scores worden vervolgens uitgedrukt in informatief, laag, gemiddeld, hoog en kritiek. Dit helpt om de kwetsbaarheden goed te begrijpen en prioriteiten te stellen in het oplossen van problemen.

Gedurende deze fase is de applicatie door het NFIR onderworpen aan een Blackbox en Greybox pentest. Black-, Grey-, en Whitebox verwijst naar het aantal informatie wat de ethisch hackers voorafgaand aan het onderzoek tot hun beschikking hebben. De pentesten die NFIR uitvoert zijn altijd in lijn met internationaal geaccepteerde standaarden en wordt uitgevoerd middels hoogwaardige tooling. Op deze manier wordt de test zorgvuldig en compleet uitgevoerd.

Hoopvol de tweede testfase in

Inmiddels gaat het GGD Registratieportaal de tweede testfase in. NFIR zal eerdere resultaten opnieuw testen om na te gaan of de fouten die in de eerste testfase zijn aangekaart inmiddels opgelost zijn. Daarnaast zullen nieuwe functionaliteiten van het Registratieportaal getest worden op weerbaarheid tegen security incidenten. In lijn met de eerste incidenten worden geen grote risico’s verwacht tijdens de tweede testfase. Immers, het betreft een simpele applicatie die enkel ingericht is voor het registreren van data. De uitgebreide en grondige testprocedures zijn vooralsnog van groot belang, aangezien het gaat om privacygevoelige en medische data.

Veelgemaakte fout bij het testen van apps

Bizway heeft gekozen om het GGD Registratieportaal door twee IT security partijen – NFIR en Fox IT- te laten testen voor extra controle en nauwkeurigheid. Bovendien wordt de applicatie al getest voordat deze in productie gaat. Momenteel zit er enkel testdata in, wat betekent dat de gevonden kwetsbaarheden nog geen kwaad kunnen. Ondanks het feit dat de applicatie een beperkt aantal functionaliteiten kent, is het toch essentieel om een grondig testbeleid uit te voeren. Voorkomen is immers altijd beter- en veel goedkoper en efficiënter- dan genezen. Toch toont de praktijk nog vaak aan dat applicaties pas worden getest nadat deze al geproduceerd en uitgerold zijn. Het pentesten gebeurt dan pas nadat er kwetsbaarheden in het eindproduct worden gevonden. De GGD Registratieapp zal daarentegen pas opgeleverd worden wanneer er geen bevindingen meer worden gedaan door zowel Fox IT als NFIR.

Heeft u zelf een platform, applicatie, of andere online omgeving die u vrij van kwetsbaarheden en weerbaar tegen hackers wilt krijgen? Neem dan contact met ons op voor een pentest. Tijdens een kosteloze intake bepalen wij samen met u de scope en de gewenste aanvalsscenario’s. U ontvangt na deze intake een gespecificeerde offerte voor de deze pentest.

Penetratietest laten uitvoeren?

NFIR rapporteert de kwetsbaarheden van pentesten middels het Common Vulnerability Scoring System (CVSS 3.1)
Pentest

De coronamelder app op de telefoon stuurt u een bericht als u enige tijd in de buurt bent geweest van iemand die besmet is met het coronavirus. Ook geeft de app advies over wat u dan het beste kunt doen. Dit verlaagt het risico dat u onbewust andere mensen in uw omgeving besmet.

De corona-app stuurt u een bericht als u enige tijd in de buurt bent geweest van iemand die besmet is met het coronavirus. Ook geeft de app advies over wat u dan het beste kunt doen. Dit verlaagt het risico dat u onbewust andere mensen in uw omgeving besmet.

Digitale middelen kunnen helpen bij de bestrijding van het coronavirus. Het ministerie van VWS ontwikkelde de app CoronaMelder. Deze app meldt of u in de buurt bent geweest van iemand die na een test corona blijkt te hebben.

Meer informatie op rijksoverheid.nl

Het Ministerie van Volksgezondheid, Welzijn en Sport (WVS) heeft NFIR verzocht om een penetratietest uit te voeren op de infrastructuur (API), Content-Delivery-Network (CDN) en de mobiele applicaties behorende tot CoronaMelder.

De rapportage van deze coronamelder app test vindt u op de website van de Rijkoverheid

  1. Een vulnerability scan geeft een algemeen beeld van hoe de IT-security geregeld is. Een pentest geeft een meer gedetailleerd beeld van de huidige IT-security.
  2. Met een vulnerablity scan worden algemeen bekende kwetsbaarheden gevonden. Bij een pentest bestaat aandacht voor alle potentiële zwakheden.
  3. Bij vulnerabilityscanning wordt gebruik gemaakt van geautomatiseerde scans om kwetsbaarheden te ontdekken. Bij een pentest wordt ook gebruik van gemaakt geautomatiseerde scans en daarnaast gaat de onderzoeker middels een dosis creativiteit actief op zoek naar kwetsbaarheden.

 

Onze penters beschikken over een grote hoeveelheid ervaring, veel creativiteit en actuele vakkennis. De pentesters van NFIR hebben relevante opleidingen gevolgd en certificeringen als OSCP behaald. Daarnaast hebben zij allemaal korpschefgoedkeuring gekregen en geheimhouding ondertekend.

De coronamelder app

De coronamelder app stuurt u een bericht als u enige tijd in de buurt bent geweest van iemand die besmet is met het coronavirus. Ook geeft de app advies over wat u dan het beste kunt doen. Dit verlaagt het risico dat u onbewust andere mensen in uw omgeving besmet.

Hoe lang een pentest duurt is sterk afhankelijk van de omgeving die getest moet worden en de afspraken die met de opdrachtgever worden gemaakt over de in te zetten aanvalsscenario’s.

Een Black Box pentest houdt in dat vooraf geen informatie over de omgeving wordt gedeeld met de pentesters. Met een pentest op basis van het White Box-principe wordt alle informatie over de omgeving van tevoren gedeeld. Als u voor het eerst een pentest laat uitvoeren en daarbij een algemeen beeld wilt krijgen van uw beveiliging, is het nuttig om een Black Box pentest uit te laten voeren.

Een Black Box pentest is voornamelijk geschikt als een omgeving voor het eerst gepentest wordt en u een algemeen beeld wilt krijgen van de beveiliging. Een Grey Box-penetratietest is een tussenvorm van de Black Box en White Box pentest, waarbij de onderzoekers beperkte inloggegevens en -informatie ter beschikking hebben. De Grey Box pentest wordt over het algemeen toegepast om te kijken hoe veilig een omgeving is vanuit het perspectief van een medewerker of klant.

Maak met elkaar afspraken wanneer de informatie aangeleverd moet zijn, wanneer de pentest zal gaan plaatsvinden, wat de pentest betekent voor de dagelijkse gang van zaken binnen uw bedrijf en wanneer de rapportage opgeleverd zal worden. De opdracht moet helder zijn en de informatie die van te voren benodigd is, moet tijdig aangeleverd zijn, anders kan een pentest niet van start gaan.

De NFIR Pentest: hoe ondoordringbaar is uw netwerk?

Met de NFIR Pentest kunt u zekerheid en advies krijgen over de veiligheid van uw netwerk. NFIR voor vrijblijvend advies: 088 – 323 0205

De drie belangrijke standaarden die NFIR gebruikt (afhankelijk van de te testen omgeving) zijn de Penetration Execution Standard (PTES), Open Source Security Testing Methodology Manual (OSSTMM) en het Open Web Application Security Project (OWASP). Door middel van het Common Vulnerability Scoring System (versie 3) wordt  de ernst van een kwetsbaarheid bepaald. Verder gebruikt NFIR input van de opdrachtgever om een CIA weging toe te passen op de gevonden kwetsbaarheden. 

Scroll naar top