image

Donner wil verplichte pentest voor overheidssites

donderdag 13 oktober 2011, 15:04 door Redactie, 11 reacties

Vanaf volgend jaar moeten overheidsorganisaties hun ICT-beveiliging elk jaar laten testen, zo heeft minister Donner van Binnenlandse Zaken en Koninkrijksrelaties in een brief aan de Tweede Kamer laten weten. De brief volgt na verschillende problemen bij overheidssites waarbij het mogelijk zou zijn om DigiD-gegevens te stelen.

"Alle organisaties die DigiD gebruiken dienen uiterlijk voor het einde van het eerste kwartaal van 2012 hun ICT-beveiliging getoetst te hebben op basis van een nog door GOVCERT te maken beveiligingsnorm", aldus de bewindvoerder. De jaren daarna zal er volgens Donner een jaarlijkse herhaling van de "ICT-beveiligings-assessment" plaatsvinden.

Kraken
"Vanaf 2012 zal sprake zijn van een jaarlijkse herhaling van het ICT beveiligings-assessment door alle gebruikende organisaties. Ten slotte zal Logius in het stelsel van ICT beveiligings-assessments enkele betrouwbare marktpartijen vragen de ICT beveiliging van gebruikende organisaties te kraken. Daarmee kan getoetst worden of het ICT beveiligings-assessment voldoende stringent wordt toegepast."

Het ministerie benadrukt dat honderd procent veiligheid niet is te garanderen. "Wel zal tenminste een aantal minimale beveiligingsmaatregelen altijd moeten worden genomen."

Reacties (11)
13-10-2011, 15:10 door Anoniem
''Ten slotte zal Logius in het stelsel van ICT beveiligings-assessments enkele betrouwbare marktpartijen vragen''

DigiNotar was ook betrouwbaar volgens Logius.....
Wie zegt dat de door Logius vertrouwde partijen hun zaakjes echt goed op orde hebben.
13-10-2011, 15:54 door Anoniem
"Vanaf volgend jaar moeten overheidsorganisaties hun ICT-beveiliging elk jaar laten testen, zo heeft minister Donner van Binnenlandse Zaken en Koninkrijksrelaties in een brief aan de Tweede Kamer laten weten."

Het is schrikbarend dat dit nog niet gebeurde. Ik vraag me wel af hoe de pentests afgebakend gaan worden, en of ze dus al dan niet effectief zullen zijn. Immers mag een pentester slechts die zaken testen waar de opdrachtgever om vraagt.
13-10-2011, 16:01 door N4ppy
Snel aandelen fox-it kopen?
13-10-2011, 16:10 door SirDice
Vanaf volgend jaar moeten overheidsorganisaties hun ICT-beveiliging elk jaar laten testen, zo heeft minister Donner van Binnenlandse Zaken en Koninkrijksrelaties in een brief aan de Tweede Kamer laten weten.
Daaraan zou ik willen toevoegen dat het testen gedaan moet worden door een andere (onafhankelijke) partij dan diegene die de website gemaakt heeft. Anders laat je een slager z'n eigen vlees keuren.

Ik zou zelfs nog iets verder willen gaan en de website-code laten auditeren voordat deze online gezet wordt.
13-10-2011, 17:22 door Ilja. _V V
Donner voor: "Pentesten hoeft niet, want hakken mag niet!".

Donner na: " Pentesten moet, dus hakken mag!..."
13-10-2011, 21:03 door [Account Verwijderd]
[Verwijderd]
13-10-2011, 22:06 door fd0
mosterd na de maaltijd....
het zou beter zijn als veiligheid aan de basis van de (overheids-)systemen staat, ipv als een sausje er achteraf overheen gegoten te worden
13-10-2011, 22:32 door Erik van Straten
Redactie: Donner wil verplichte pentest voor overheidssites
Dit staat niet in de brief.

Donner: 3. Voor de langere termijn geldt dat alle DigiD gebruikende organisatie uiterlijk voor het einde van het eerste kwartaal van 2012 hun ICT beveiliging getoetst dienen te hebben op basis van een ICT beveiligings-assessment.

Vanaf 2012 zal sprake zijn van een jaarlijkse herhaling van het ICT beveiligings-assessment door alle gebruikende organisaties.

Ten slotte zal Logius in het stelsel van ICT beveiligings-assessments enkele betrouwbare marktpartijen vragen de ICT beveiliging van gebruikende organisaties te kraken. Daarmee kan getoetst worden of het ICT beveiligings-assessment voldoende stringent wordt toegepast.
M.a.w. er vindt een jaarlijkse assessment plaats op alle DigiD gebruikende organisaties; da's geen pentesten. Daarbij zou gekeken kunnen worden naar welk framework gebruikt wordt, of de laatste patches zijn geïnstalleerd, of beheertoegang voldoende is afgegrendeld, of er sprake is van IDS software etc. (hopelijk kijkt de auditor wel verder dan bij DigiNotar).

De assessment methode zal d.m.v. "kraken" (lees pentesten) worden gevalideerd. Maar daarbij zal het, vermoed ik, om enkele steekproeven gaan. Als 10 gemeentes hetzelfde framework gebruiken hoef je die natuurlijk niet allemaal individueel te pentesten. Je kunt dan 1 zo'n implementatie checken bijv. aan de hand van https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project en/of er Metasploit/Backtrack tegenaan gooien.
14-10-2011, 11:07 door Anoniem
Door Anoniem: ''Ten slotte zal Logius in het stelsel van ICT beveiligings-assessments enkele betrouwbare marktpartijen vragen''

DigiNotar was ook betrouwbaar volgens Logius.....
Wie zegt dat de door Logius vertrouwde partijen hun zaakjes echt goed op orde hebben.


dat vraag ik mij ook al een hele tijd af. +1
14-10-2011, 18:10 door spatieman
mwhuahaha, hij was niet eens in staat om de analoge criminaliteit te bevechten.
laat staan de digitale versie.
15-10-2011, 10:47 door Anoniem
Is 1x per jaar wel genoeg? De sites kunnen dan ondertussen al meerdere keren zijn geupdate met lekke code en ook valt niet te controleren of alle patches e.d. netjes zijn geïnstalleerd. Wie zegt mij dat beheerders niet nog even snel voor de controle hun zaakjes regelen en de rest van het jaar achterover leunen....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.