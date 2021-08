Coronatestbedrijven die grote wijzigingen aan hun softwarecode doorvoeren moeten dit melden bij het ministerie van Volksgezondheid, zodat er gekeken kan worden of er een nieuwe penetratietest nodig is om op de CoronaCheck-app te worden aangesloten. Dat heeft demissionair minister De Jonge van Volksgezondheid laten weten.

Testbedrijven kunnen op CoronaCheck worden aangesloten, zodat testresultaten vanuit de app beschikbaar zijn. Eind juli kwam het testbedrijf Testcoronanu in het nieuws nadat bleek dat de database van het bedrijf voor iedereen op internet toegankelijk was. Daardoor was het mogelijk om testuitslagen in te zien, aan te passen en toe te voegen. Zo konden er valse toegangswijzen binnen de CoronaCheck-app worden gegenereerd. Verder bevatte de database de persoonsgegevens van ruim 60.000 personen.

Testcoronanu had een penetratietest laten uitvoeren, maar daarbij was de kwetsbaarheid niet ontdekt. Het ministerie is nu een onderzoek naar de pentestrapportage gestart. Vanwege het datalek met Testcoronanu wordt in de aansluitprocedure, naast de pentestrapportage die het testbedrijf moet aanleveren, nu ook door het ministerie van Volksgezondheid een extra controle ter verificatie van de pentest uitgevoerd.

"De pentesten moeten opgesteld zijn aan de hand van de internationale standaard Penetration Execution Standard (PTES). De aangeleverde pentestrapportage mag geen openstaande bevindingen met een CVSS-score (Common Vulnerability Scoring System) van 4,0 of hoger bevatten. Gevonden risicovolle bevindingen moeten zijn opgelost en er moet een hertest hebben plaatsgevonden", laat De Jonge weten.

De minister reageerde op Kamervragen van de VVD over het datalek. "Softwarecode is doorgaans aan verandering onderhevig, welke criteria stelt u aan het opnieuw uitvoeren van een pentest na het wijzigen van de softwarecode?", wilden VVD-Kamerleden Rajkowski en De Vries weten. Daarop antwoordt De Jonge dat substantiële aanpassingen aan de softwarecode moeten worden gemeld bij het ministerie. Er wordt vervolgens nagegaan in welke gevallen een nieuwe beoordeling, en dan ook een nieuwe pentest, voor de aansluiting op CoronaCheck noodzakelijk is.