image

Coronatestbedrijven moeten grote wijzigingen van software melden bij VWS

dinsdag 24 augustus 2021, 15:39 door Redactie, 2 reacties

Coronatestbedrijven die grote wijzigingen aan hun softwarecode doorvoeren moeten dit melden bij het ministerie van Volksgezondheid, zodat er gekeken kan worden of er een nieuwe penetratietest nodig is om op de CoronaCheck-app te worden aangesloten. Dat heeft demissionair minister De Jonge van Volksgezondheid laten weten.

Testbedrijven kunnen op CoronaCheck worden aangesloten, zodat testresultaten vanuit de app beschikbaar zijn. Eind juli kwam het testbedrijf Testcoronanu in het nieuws nadat bleek dat de database van het bedrijf voor iedereen op internet toegankelijk was. Daardoor was het mogelijk om testuitslagen in te zien, aan te passen en toe te voegen. Zo konden er valse toegangswijzen binnen de CoronaCheck-app worden gegenereerd. Verder bevatte de database de persoonsgegevens van ruim 60.000 personen.

Testcoronanu had een penetratietest laten uitvoeren, maar daarbij was de kwetsbaarheid niet ontdekt. Het ministerie is nu een onderzoek naar de pentestrapportage gestart. Vanwege het datalek met Testcoronanu wordt in de aansluitprocedure, naast de pentestrapportage die het testbedrijf moet aanleveren, nu ook door het ministerie van Volksgezondheid een extra controle ter verificatie van de pentest uitgevoerd.

"De pentesten moeten opgesteld zijn aan de hand van de internationale standaard Penetration Execution Standard (PTES). De aangeleverde pentestrapportage mag geen openstaande bevindingen met een CVSS-score (Common Vulnerability Scoring System) van 4,0 of hoger bevatten. Gevonden risicovolle bevindingen moeten zijn opgelost en er moet een hertest hebben plaatsgevonden", laat De Jonge weten.

De minister reageerde op Kamervragen van de VVD over het datalek. "Softwarecode is doorgaans aan verandering onderhevig, welke criteria stelt u aan het opnieuw uitvoeren van een pentest na het wijzigen van de softwarecode?", wilden VVD-Kamerleden Rajkowski en De Vries weten. Daarop antwoordt De Jonge dat substantiële aanpassingen aan de softwarecode moeten worden gemeld bij het ministerie. Er wordt vervolgens nagegaan in welke gevallen een nieuwe beoordeling, en dan ook een nieuwe pentest, voor de aansluiting op CoronaCheck noodzakelijk is.

Reacties (2)
24-08-2021, 18:45 door Anoniem
Ipv nog een meldplicht. Hadden ze dit niet veel beter publiek kunnen regelen? In denemarken ging dat perfect.
25-08-2021, 11:16 door [Account Verwijderd] - Bijgewerkt: 25-08-2021, 11:18
Door Anoniem: Ipv nog een meldplicht. Hadden ze dit niet veel beter publiek kunnen regelen? In denemarken ging dat perfect.

Denemarken en publiek? Niet voor alles:
https://fsfe.org/news/2020/news-20200629-01.en.html:

Denmark keeps source code of Coronavirus tracing app secret
Like many other European countries, Denmark also tries to track Sars-CoV-2 infections with a mobile phone tracing app. However, against advice by health organisations and despite positive examples by other countries, the app is proprietary, so not being released under a Free Software (also called Open Source) license
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.