Coronatestbedrijven moeten grote wijzigingen van software melden bij VWS
Coronatestbedrijven die grote wijzigingen aan hun softwarecode doorvoeren moeten dit melden bij het ministerie van Volksgezondheid, zodat er gekeken kan worden of er een nieuwe penetratietest nodig is om op de CoronaCheck-app te worden aangesloten. Dat heeft demissionair minister De Jonge van Volksgezondheid laten weten.
Testbedrijven kunnen op CoronaCheck worden aangesloten, zodat testresultaten vanuit de app beschikbaar zijn. Eind juli kwam het testbedrijf Testcoronanu in het nieuws nadat bleek dat de database van het bedrijf voor iedereen op internet toegankelijk was. Daardoor was het mogelijk om testuitslagen in te zien, aan te passen en toe te voegen. Zo konden er valse toegangswijzen binnen de CoronaCheck-app worden gegenereerd. Verder bevatte de database de persoonsgegevens van ruim 60.000 personen.
Testcoronanu had een penetratietest laten uitvoeren, maar daarbij was de kwetsbaarheid niet ontdekt. Het ministerie is nu een onderzoek naar de pentestrapportage gestart. Vanwege het datalek met Testcoronanu wordt in de aansluitprocedure, naast de pentestrapportage die het testbedrijf moet aanleveren, nu ook door het ministerie van Volksgezondheid een extra controle ter verificatie van de pentest uitgevoerd.
"De pentesten moeten opgesteld zijn aan de hand van de internationale standaard Penetration Execution Standard (PTES). De aangeleverde pentestrapportage mag geen openstaande bevindingen met een CVSS-score (Common Vulnerability Scoring System) van 4,0 of hoger bevatten. Gevonden risicovolle bevindingen moeten zijn opgelost en er moet een hertest hebben plaatsgevonden", laat De Jonge weten.
De minister reageerde op Kamervragen van de VVD over het datalek. "Softwarecode is doorgaans aan verandering onderhevig, welke criteria stelt u aan het opnieuw uitvoeren van een pentest na het wijzigen van de softwarecode?", wilden VVD-Kamerleden Rajkowski en De Vries weten. Daarop antwoordt De Jonge dat substantiële aanpassingen aan de softwarecode moeten worden gemeld bij het ministerie. Er wordt vervolgens nagegaan in welke gevallen een nieuwe beoordeling, en dan ook een nieuwe pentest, voor de aansluiting op CoronaCheck noodzakelijk is.
Denemarken en publiek? Niet voor alles:
Denmark keeps source code of Coronavirus tracing app secret
Like many other European countries, Denmark also tries to track Sars-CoV-2 infections with a mobile phone tracing app. However, against advice by health organisations and despite positive examples by other countries, the app is proprietary, so not being released under a Free Software (also called Open Source) license
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.