Wij zijn |

Wat is een BIO / ENSIA pentest

Icon van een BIO pentest
Een penetratietest (ook wel pentest) kan vanuit een audit een verplicht onderdeel zijn, zo ook bij de Baseline Informatiebeveiliging Overheid (BIO). Dus bent u een overheidsorganisatie en moet u jaarlijks voldoen aan de BIO of ENSIA-normen? Dan moet u conform Informatiebeveiligingsbeoordelingen (18.2.3) ook voldoen aan een jaarlijkse BIO / ENSIA pentest, ook wel BIO penetratietest genoemd.

 

18.2.3.1 2 Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s ten aanzien van de feitelijke veiligheid. Dit kan bijvoorbeeld door (geautomatiseerde) kwetsbaarheidsanalyses of pentesten.

Pentests.nl voert jaarlijks meerdere pentests uit waaronder pentests die onderhevig zijn aan het BIO-normenkader. Bent u op zoek naar een onafhankelijke, Nederlandse en ervaren pentestleverancier voor het uitvoeren van een BIO pentest? Neem dan contact met ons op.

 

Waarom een BIO penetratietest uitvoeren?

Binnen de overheid vormt informatiebeveiliging een belangrijk kwaliteitsaspect van de informatievoorziening. Informatiebeveiliging is het vaststellen van de beveiliging middels de CIA Triad: Confidentiality, Integrity en Availability. Binnen de BIO wordt de Nederlandse equivalent hiervan gebruikt: Vertrouwelijkheid, Beschikbaarheid en Integriteit. Het doel van de BIO pentest is het inzichtelijk maken van de effectiviteit van de reeds genomen beveiligingsmaatregelen. Het resultaat hiervan geeft inzicht in de gebieden die aandacht verdienen en biedt daarnaast praktische handvatten ter verbetering.

Door het verplichten van een BIO penetratietest wordt de informatiebeveiliging bij alle bestuurslagen binnen de overheid bevorderd en kunnen de bestuurslagen erop vertrouwen dat onderlinge gegevensuitwisseling veilig plaatsvindt.

Wat is een ENSIA pentest

De Eenduidige Normatiek Single Information Audit (ENSIA) is een verantwoordingsstelsel voor informatieveiligheid bij gemeenten en andere decentrale overheden, gebaseerd op de Baseline Informatiebeveiliging Overheid (BIO). Een ENSIA pentest is een penetratietest die binnen de context van de ENSIA-audit wordt uitgevoerd om te beoordelen of de organisatie voldoet aan de geldende normen en standaarden.

Wanneer een BIO / ENSIA pentest uitvoeren?

Een pentest is een momentopname en daarom dient het periodiek uitgevoerd te worden. De BIO stelt geen exacte datum voor wanneer de BIO pentest afgerond dient te zijn. Wel vermeldt de BIO dat het van belang is om de pentest minimaal jaarlijks uit te laten voeren. Dit redenen hiervoor zijn:

  • Om bestaande systemen te controleren op nieuwe kwetsbaarheden en aanvalstechnieken.
  • Als onderdeel van het Information Security Management System (ISMS).[1]

Daarnaast wordt er binnen de handreiking “20204-Handreiking-Penetratietesten-v2.21” van de BIO twee additionele redenen om een BIO pentest uit te voeren vermeld:

  • Er zijn (grote) wijzigingen gedaan ten opzichte van de oorspronkelijke situatie. Hier kan bijvoorbeeld gedacht worden aan een migratie van Windows Server 2016 naar Windows Server 2021.
  • De acceptatiefase van een nieuwe applicatie of systeem die in gebruik genomen gaat worden.

[1] https://www.informatiebeveiligingsdienst.nl/product/isms-v1-0/

Criteria BIO pentestleverancier

Een pentester is de onderzoeker die de pentest uitvoert. In bijlage 2 van de handreiking “20204-Handreiking-Penetratietesten-v2.21” wordt de criteria gesteld voor het selecteren van een pentestleverancier. Deze criteria kan als volgt worden samengevat:

    1. Is de pentester onafhankelijk van het testobject?
    2. Is de pentester afkomstig van een externe organisatie?
    3. Heeft de pentester ervaring?
      1. Hoeveel jaar werkervaring?
      2. Zijn er referenties?
      3. Zijn er invloedrijke whitepapers geschreven?
      4. Is de pentester spreker geweest op (security)congressen?
    4. Beschikt de pentester over afdoende capaciteit voor het succesvol afronden van de BIO pentest?
    5. Is de pentester afdoende verzekerd tegen schade(aansprakelijkheidsverzekering)?
    6. Is de pentester in het bezit van erkende certificaten?
      1. Offensive Security Certified Professional (OSCP)
    7. Voert de pentester de pentest zelf volledig uit of wordt er een deel uitbesteed aan een andere pentestleverancier?

Waarom pentests.nl?

Alle onafhankelijke pentesters van Pentests.nl beschikken over veel kennis en ervaring. Ze zijn in het bezit van talrijke erkende pentestcertificaten, waaronder OSCP, OSCE, EWPTX en ECPTX. Daarnaast zetten ze zich in voor een veiliger Nederlands IT-landschap door pro deo kwetsbaarheden bij bedrijven te melden, waarvoor ze publiekelijk worden bedankt.

Een penetratietest wordt altijd uitgevoerd door de security specialisten van Pentests.nl zelf.

Wat kost een BIO penetratietest?

De prijs van een BIO penetratietest is afhankelijk van het testboject, de testvorm en technische diepgang van de pentest. Een pentest van een kleine webapplicatie van één pagina zonder technische diepgang (blackbox) en een rapportage die enkel de hoofdzaken behandelt kan bijvoorbeeld al vanaf 1000 euro uitgevoerd worden. Bij zo’n pentest wordt alleen naar de veelvoorkomende fouten gekeken en bijvoorbeeld niet naar de broncode van de webapplicatie. Dit kan een onvolledig en mogelijk verkeerd beeld van het beveiligingsniveau schetsen.

Hoe groter en complexer het testobject, hoe duurder de BIO penetratietest wordt. De kosten voor een webapplicatie pentest waarbij meerdere gebruikersrollen, koppelingen en pagina’s inclusief broncode onderzocht dienen te worden, kunnen al snel oplopen tot (tien)duizenden euro’s.

Een BIO penetratietest blijft altijd maatwerk en daarom is het goed om voorafgaande de pentest de scope duidelijk te definiëren. Heeft u hulp nodig bij het duidelijk definiëren van de scope van een pentest? Neem dan contact op met één van onze adviseurs.

Hoe kunnen wij u helpen?

QR Codes: Het onverwachte wapen in Device Code Phishing

Device code phishing, net als aanvallen via Adversary-in-the-middle (AiTM), vertegenwoordigt een geavanceerde vorm van cyberdreiging die zich onderscheidt van traditionele phishing. Device code phishing exploiteert de ‘OAuth2 Device Authorization Grant flow‘ van Microsoft Azure, die gebruikers in staat stelt zich aan te melden bij apparaten met beperkte invoermogelijkheden.

read more

CORS: het belang van Cross-Origin Resource Sharing

Bij onze klanten zien we een toenemende implementatie van Cross-Origin Resource Sharing (CORS). Helaas constateren we ook een stijging in het aantal onveilig geconfigureerde CORS-implementaties. In deze blog duiken we dieper in wat CORS is, de meest voorkomende misconfiguraties en hun potentiële risico’s, en hoe je sterke CORS-regels kunt instellen om je webapplicaties te beschermen.

read more