Wij zijn |

Wat is een BIO pentest

Icon van een BIO pentest
Een penetratietest (ook wel pentest) kan vanuit een audit een verplicht onderdeel zijn, zo ook bij de Baseline Informatiebeveiliging Overheid (BIO). Dus bent u een overheidsorganisatie en moet u jaarlijks voldoen aan de BIO-normen? Dan moet u conform Informatiebeveiligingsbeoordelingen (18.2.3) ook voldoen aan een jaarlijkse BIO pentest, ook wel BIO penetratietest genoemd.

18.2.3.1 2 Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s ten aanzien van de feitelijke veiligheid. Dit kan bijvoorbeeld door (geautomatiseerde) kwetsbaarheidsanalyses of pentesten.

Pentests.nl voert jaarlijks meerdere pentests uit waaronder pentests die onderhevig zijn aan het BIO-normenkader. Bent u op zoek naar een onafhankelijke, Nederlandse en ervaren pentestleverancier voor het uitvoeren van een BIO pentest? Neem dan contact met ons op.

 

Waarom een BIO penetratietest uitvoeren?

Binnen de overheid vormt informatiebeveiliging een belangrijk kwaliteitsaspect van de informatievoorziening. Informatiebeveiliging is het vaststellen van de beveiliging middels de CIA Triad: Confidentiality, Integrity en Availability. Binnen de BIO wordt de Nederlandse equivalent hiervan gebruikt: Vertrouwelijkheid, Beschikbaarheid en Integriteit. Het doel van de BIO pentest is het inzichtelijk maken van de effectiviteit van de reeds genomen beveiligingsmaatregelen. Het resultaat hiervan geeft inzicht in de gebieden die aandacht verdienen en biedt daarnaast praktische handvatten ter verbetering.

Door het verplichten van een BIO penetratietest wordt de informatiebeveiliging bij alle bestuurslagen binnen de overheid bevorderd en kunnen de bestuurslagen erop vertrouwen dat onderlinge gegevensuitwisseling veilig plaatsvindt.

Wanneer een BIO pentest uitvoeren?

Een pentest is een momentopname en daarom dient het periodiek uitgevoerd te worden. De BIO stelt geen exacte datum voor wanneer de BIO pentest afgerond dient te zijn. Wel vermeldt de BIO dat het van belang is om de pentest minimaal jaarlijks uit te laten voeren. Dit redenen hiervoor zijn:

  • Om bestaande systemen te controleren op nieuwe kwetsbaarheden en aanvalstechnieken.
  • Als onderdeel van het Information Security Management System (ISMS).[1]

Daarnaast wordt er binnen de handreiking “20204-Handreiking-Penetratietesten-v2.21” van de BIO twee additionele redenen om een BIO pentest uit te voeren vermeld:

  • Er zijn (grote) wijzigingen gedaan ten opzichte van de oorspronkelijke situatie. Hier kan bijvoorbeeld gedacht worden aan een migratie van Windows Server 2016 naar Windows Server 2021.
  • De acceptatiefase van een nieuwe applicatie of systeem die in gebruik genomen gaat worden.

[1] https://www.informatiebeveiligingsdienst.nl/product/isms-v1-0/

Criteria BIO pentestleverancier

Een pentester is de onderzoeker die de pentest uitvoert. In bijlage 2 van de handreiking “20204-Handreiking-Penetratietesten-v2.21” wordt de criteria gesteld voor het selecteren van een pentestleverancier. Deze criteria kan als volgt worden samengevat:

    1. Is de pentester onafhankelijk van het testobject?
    2. Is de pentester afkomstig van een externe organisatie?
    3. Heeft de pentester ervaring?
      1. Hoeveel jaar werkervaring?
      2. Zijn er referenties?
      3. Zijn er invloedrijke whitepapers geschreven?
      4. Is de pentester spreker geweest op (security)congressen?
    4. Beschikt de pentester over afdoende capaciteit voor het succesvol afronden van de BIO pentest?
    5. Is de pentester afdoende verzekerd tegen schade(aansprakelijkheidsverzekering)?
    6. Is de pentester in het bezit van erkende certificaten?
      1. Offensive Security Certified Professional (OSCP)
    7. Voert de pentester de pentest zelf volledig uit of wordt er een deel uitbesteed aan een andere pentestleverancier?

Waarom pentests.nl?

Alle onafhankelijke pentesters van Pentests.nl beschikken over veel kennis en ervaring. Ze zijn in het bezit van talrijke erkende pentestcertificaten, waaronder OSCP, OSCE, EWPTX en ECPTX. Daarnaast zetten ze zich in voor een veiliger Nederlands IT-landschap door pro deo kwetsbaarheden bij bedrijven te melden, waarvoor ze publiekelijk worden bedankt.

Een penetratietest wordt altijd uitgevoerd door de security specialisten van Pentests.nl zelf.

Wat kost een BIO penetratietest?

De prijs van een BIO penetratietest is afhankelijk van het testboject, de testvorm en technische diepgang van de pentest. Een pentest van een kleine webapplicatie van één pagina zonder technische diepgang (blackbox) en een rapportage die enkel de hoofdzaken behandelt kan bijvoorbeeld al vanaf 1000 euro uitgevoerd worden. Bij zo’n pentest wordt alleen naar de veelvoorkomende fouten gekeken en bijvoorbeeld niet naar de broncode van de webapplicatie. Dit kan een onvolledig en mogelijk verkeerd beeld van het beveiligingsniveau schetsen.

Hoe groter en complexer het testobject, hoe duurder de BIO penetratietest wordt. De kosten voor een webapplicatie pentest waarbij meerdere gebruikersrollen, koppelingen en pagina’s inclusief broncode onderzocht dienen te worden, kunnen al snel oplopen tot (tien)duizenden euro’s.

Een BIO penetratietest blijft altijd maatwerk en daarom is het goed om voorafgaande de pentest de scope duidelijk te definiëren. Heeft u hulp nodig bij het duidelijk definiëren van de scope van een pentest? Neem dan contact op met één van onze adviseurs.

Hoe kunnen wij u helpen?

Stored XSS in BigBlueButton

Pentests.nl has discovered a vulnerability in BigBlueButton (version 2.4.7 and prior) which could be exploited to perform stored Cross-Site Scripting (XSS) attacks by sending private messages to users.

read more

Win een phishing simulatie

Pentests.nl bestaat vandaag precies 100 dagen en wie jarig is trakteert. Daarom geven we drie gratis phishing simulaties weg! Laat een bericht achter via LinkedIn of onze contactpagina, dan ontvangt u van ons een lotnummer. Volgende week dinsdag zullen we de winnende lotnummers bekendmaken.

read more