Wat is een BIO / ENSIA pentest

Waarom een BIO penetratietest uitvoeren?

Binnen de overheid vormt informatiebeveiliging een belangrijk kwaliteitsaspect van de informatievoorziening. Informatiebeveiliging is het vaststellen van de beveiliging middels de CIA Triad: Confidentiality, Integrity en Availability. Binnen de BIO wordt de Nederlandse equivalent hiervan gebruikt: Vertrouwelijkheid, Beschikbaarheid en Integriteit. Het doel van de BIO pentest is het inzichtelijk maken van de effectiviteit van de reeds genomen beveiligingsmaatregelen. Het resultaat hiervan geeft inzicht in de gebieden die aandacht verdienen en biedt daarnaast praktische handvatten ter verbetering.

Door het verplichten van een BIO penetratietest wordt de informatiebeveiliging bij alle bestuurslagen binnen de overheid bevorderd en kunnen de bestuurslagen erop vertrouwen dat onderlinge gegevensuitwisseling veilig plaatsvindt.

Wat is een ENSIA pentest

De Eenduidige Normatiek Single Information Audit (ENSIA) is een verantwoordingsstelsel voor informatieveiligheid bij gemeenten en andere decentrale overheden, gebaseerd op de Baseline Informatiebeveiliging Overheid (BIO). Een ENSIA pentest is een penetratietest die binnen de context van de ENSIA-audit wordt uitgevoerd om te beoordelen of de organisatie voldoet aan de geldende normen en standaarden.

Wanneer een BIO / ENSIA pentest uitvoeren?

Een pentest is een momentopname en daarom dient het periodiek uitgevoerd te worden. De BIO stelt geen exacte datum voor wanneer de BIO pentest afgerond dient te zijn. Wel vermeldt de BIO dat het van belang is om de pentest minimaal jaarlijks uit te laten voeren. Dit redenen hiervoor zijn:

• Om bestaande systemen te controleren op nieuwe kwetsbaarheden en aanvalstechnieken.
• Als onderdeel van het Information Security Management System (ISMS).[1]

Daarnaast wordt er binnen de handreiking “20204-Handreiking-Penetratietesten-v2.21” van de BIO twee additionele redenen om een BIO pentest uit te voeren vermeld:

• Er zijn (grote) wijzigingen gedaan ten opzichte van de oorspronkelijke situatie. Hier kan bijvoorbeeld gedacht worden aan een migratie van Windows Server 2016 naar Windows Server 2021.
• De acceptatiefase van een nieuwe applicatie of systeem die in gebruik genomen gaat worden.

[1] https://www.informatiebeveiligingsdienst.nl/product/isms-v1-0/

Criteria BIO pentestleverancier

Een pentester is de onderzoeker die de pentest uitvoert. In bijlage 2 van de handreiking “20204-Handreiking-Penetratietesten-v2.21” wordt de criteria gesteld voor het selecteren van een pentestleverancier. Deze criteria kan als volgt worden samengevat:

1. Is de pentester onafhankelijk van het testobject?
2. Is de pentester afkomstig van een externe organisatie?
3. Heeft de pentester ervaring?
   1. Hoeveel jaar werkervaring?
   2. Zijn er referenties?
   3. Zijn er invloedrijke whitepapers geschreven?
   4. Is de pentester spreker geweest op (security)congressen?
4. Beschikt de pentester over afdoende capaciteit voor het succesvol afronden van de BIO pentest?
5. Is de pentester afdoende verzekerd tegen schade(aansprakelijkheidsverzekering)?
6. Is de pentester in het bezit van erkende certificaten?
   1. Offensive Security Certified Professional (OSCP)
7. Voert de pentester de pentest zelf volledig uit of wordt er een deel uitbesteed aan een andere pentestleverancier?

Waarom pentests.nl?

Alle onafhankelijke pentesters van Pentests.nl beschikken over veel kennis en ervaring. Ze zijn in het bezit van talrijke erkende pentestcertificaten, waaronder OSCP, OSCE, EWPTX en ECPTX. Daarnaast zetten ze zich in voor een veiliger Nederlands IT-landschap door pro deo kwetsbaarheden bij bedrijven te melden, waarvoor ze publiekelijk worden bedankt.

Een penetratietest wordt altijd uitgevoerd door de security specialisten van Pentests.nl zelf.

Wat kost een BIO penetratietest?

De prijs van een BIO penetratietest is afhankelijk van het testboject, de testvorm en technische diepgang van de pentest. Een pentest van een kleine webapplicatie van één pagina zonder technische diepgang (blackbox) en een rapportage die enkel de hoofdzaken behandelt kan bijvoorbeeld al vanaf 1000 euro uitgevoerd worden. Bij zo’n pentest wordt alleen naar de veelvoorkomende fouten gekeken en bijvoorbeeld niet naar de broncode van de webapplicatie. Dit kan een onvolledig en mogelijk verkeerd beeld van het beveiligingsniveau schetsen.

Hoe groter en complexer het testobject, hoe duurder de BIO penetratietest wordt. De kosten voor een webapplicatie pentest waarbij meerdere gebruikersrollen, koppelingen en pagina’s inclusief broncode onderzocht dienen te worden, kunnen al snel oplopen tot (tien)duizenden euro’s.

Een BIO penetratietest blijft altijd maatwerk en daarom is het goed om voorafgaande de pentest de scope duidelijk te definiëren. Heeft u hulp nodig bij het duidelijk definiëren van de scope van een pentest? Neem dan contact op met één van onze adviseurs.

Referenties

• https://www.informatiebeveiligingsdienst.nl/product/handreiking-penetratietesten/
• https://www.informatiebeveiligingsdienst.nl/product/isms-v1-0/
• https://www.bio-overheid.nl/
• https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/informatieveiligheid/kaders-voor-informatieveiligheid/baseline-informatiebeveiliging-overheid/