Kamer stemt voor uniforme aanpak voor het geven van pentest-opdrachten
De Tweede Kamer heeft voor een motie gestemd die de regering verzoekt om overheidsbreed toe te werken naar een uniforme aanpak voor het geven van pentest-opdrachten. De motie is afkomstig van NSC-Kamerlid Six Dijkstra, die stelt dat veel succesvolle cyberaanvallen mogelijk worden gemaakt door basale, voorzienbare fouten in de informatiebeveiliging die ook bij pentests over het hoofd worden gezien.
Volgens Six Dijkstra moeten bestuurders op basis van huidige en aankomende wet- en regelgeving steeds vaker verantwoording afleggen over het beveiligingsniveau van hun systemen, en daarmee ook over de aanwezige risico's en kwetsbaarheden. Het zou bestuurders helpen om controle te houden en kosten te besparen als op uniforme en transparante wijze bewezen kan worden dat aan alle verplichtingen omtrent informatiebeveiliging is voldaan, merkt het Kamerlid op.
"Van mening dat de mystiek die veelal heerst rondom het inzetten van hackers voor pentests eerder averechts werkt voor controle op informatiebeveiliging omdat hierdoor slecht gestuurd wordt op resultaten en inzichtelijkheid; verzoekt de regering om overheidsbreed toe te werken naar een gestandaardiseerde methodiek voor het opdrachtgeverschap van pentests, zoals de Methodiek voor Informatiebeveiligingsonderzoek met Audit Waarde (MIAUW)", laat de motie verder weten.
Six Dijkstra diende zijn motie vorige week in tijdens een debat in de Tweede Kamer. "Het is wel belangrijk om te benadrukken dat er voor testen, en daarbinnen pentesten, verschillende vormen, hulpmiddelen en methodieken beschikbaar zijn. Ik houd de ontwikkelingen rond MIAUW vanzelfsprekend graag in de gaten, maar ik vind het belangrijk om zorgvuldig met stakeholders te bekijken wat de haalbaarheid en wenselijkheid van de verschillende methodieken is en wat de beste aanpak is voor de overheid", reageerde staatssecretaris Szabo voor Digitalisering op de motie.
Het NSC-Kamerlid liet daarop weten dat veel keurmerken die erop dit moment zijn, gericht zijn op leveranciers van pentests. "Mijn motie gaat specifiek over de ontvangende kant. De bestuurders die zo'n pentest uitzetten. Dat zij goed opdrachtgeverschap kunnen leveren."
Wat je voor security nodig hebt is een goed wettelijk kader. Liefst ook zonder Engelse woorden want of mijn eigen pen nog werkt kan ik ook testen. Iets minder belachelijks is beter.
Er zijn veel meer beroepsgroepen dan dokters, notarissen en advocaten. Voor security heb je niks. Terwijl morgen de hele waterleiding uit kan vallen. Of de stroom. Het wordt tijd om daar eens over te praten. Om er een wettelijk kader over op te zetten, net als dat je hebt voor andere beroepsgroepen. Een beetje politiek twitteren kan ik ook. Maar dat heeft geen jasje aan.
Zeker wel; ze zijn er ook (eind) verantwoordelijk voor. En dat is vaak juist het besef wat ontbreekt. Dat ze niet de inhoud en/of eisen stellen is heel wat anders; dat zal de CISO/TISO wel doen. Maar het wordt hoog tijd dat de bestuurder zélf weet wat er speelt en verantwoordelijkheid neemt. En vaste kaders helpen daar bij.
Wat je voor security nodig hebt is een goed wettelijk kader. Liefst ook zonder Engelse woorden want of mijn eigen pen nog werkt kan ik ook testen. Iets minder belachelijks is beter.
Er zijn veel meer beroepsgroepen dan dokters, notarissen en advocaten. Voor security heb je niks. Terwijl morgen de hele waterleiding uit kan vallen. Of de stroom. Het wordt tijd om daar eens over te praten. Om er een wettelijk kader over op te zetten, net als dat je hebt voor andere beroepsgroepen. Een beetje politiek twitteren kan ik ook. Maar dat heeft geen jasje aan.
Die zijn er wel. Maar in welke mate je daar waarde aan kan hechten is een tweede. En zoals dat gaat met wetten; hoe gedetailleerder; hoe sneller ze verouderd zijn en dan helemaal geen effect meer hebben.
Kijk naar de AVG: "passende technische en organisatorische maatregelen". Het is maar goed dat ze daar geen concrete punten benoemen; anders kan je elke maand de AVG gaan herschrijven.
Er zijn genoeg kaders waar overheid wettelijk aan moeten voldoen; zoals de BIO2 en NIS2. Gemeenten moeten dat ook, en er over rapporteren via de ENSIA verklaring.
Of het geheel een schone schijn is; in sommige gevallen wel ja. Maar het is niet zo dat er geen wettelijke kaders zijn.
Dit kan heel goed met het tijdens Corona bij het ministerie van VWS ontwikkelde http://openkat.nl
Als de overheid dat wat ze aan pentests uitgeven investeren in het doorontwikkelen van dit soort opensource pentest tools, kan er voor veel minder geld een veel hoger security niveau gehaald worden, waar de rest van de wereld ook nog wat aan heeft.
LOL, met de groetjes van Brenno :)
http://www.pentest-standard.org/index.php/PTES_Technical_Guidelines
dit gast weer erg klinken als een van de zoveelste certificeringen, waar alleen bepaalde clubjes, kuch, vriendjes van politici, aan kunnen voldoen...
Ook wordt dan de drift naar de cloud nog verder versterkt. Want ja, de SaaS-leverancier heeft in zijn dienstbeschrijving staan dat hij elk jaar een pentest laat uitvoeren. Je kunt het rapport zelfs downloaden. Kijk! Niets gevonden. Mooi toch? Dan hoeven we zelfs niets meer te doen. Dus eigen applicaties en eigen servers eruit.
Daarna komt het echte testen, out-of-the-box denken, correleren van informatie, creatief bezig zijn, etc. Dit alles natuurlijk goed gedocumenteerd, maar zeker niet uniform.
De belastingbetaler mag gaan bloeden voor de steeds verdere kwalitatieve afkalving van IT diensten en producten ipv de leverancier/vervaardiger aan te pakken die steeds slechter werk/product oplevert.
Als je diensten en producten aanbied, heb je gewoon een verplichting dat wat je aan en/of oplevert, aan minimale vereisten moet voldoen, ook op het gebied van veiligheid. Doordat steeds minder professionals in de automatisering kennis hebben van de essentie van hun eigen vakgebied, krijg je dit soort tendensen.
Pentesters zijn gewoon testers, iets waarvoor een leverancier zelf in eerste aanleg verantwoordelijk voor moet worden gesteld. Stel als overheid maar boetes in bij niet of onvoldoende functioneren van professionals en/of het leveren van ondermaatse diensten en/of producten.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?