Kamer wil overal zelfde pentest-opdrachten

De Tweede Kamer heeft dinsdag ingestemd met een motie om pentest-opdrachten overheidsbreed te standaardiseren. Een penetratietest of kortweg pentest is een onderzoek of er zwakheden in een ict-systeem zitten die tot misbruik kunnen leiden. De staatssecretaris laat onderzoek doen naar een geschikte methodiek.

Weinig controle

De motie is afkomstig van NSC-Kamerlid Jesse Six Dijkstra. Hij wijst er in de motie onder meer op dat veel succesvolle cyberaanvallen mogelijk zijn door voorzienbare beveiligingsfouten die ook bij pentests over het hoofd worden gezien, dat er mystiek heerst rond het inzetten van hackers voor pentest en dat er daardoor maar weinig controle op pentests plaatsvindt. Daarom wil hij dat er een gestandaardiseerde methodiek voor pentest-opdrachten wordt ontwikkeld, zoals de Methodiek voor Informatiebeveiligingsonderzoek met Audit Waarde (MIAUW).

De afkorting leverde wat opmerkingen en gelach op tijdens het debat van vorige week over informatiebeveiliging bij de overheid (had men het nou goed gehoord?), maar de motie werd unaniem aangenomen. Staatssecretaris digitalisering Szabó stelde wel tijdens het debat dat er al veel methodieken zijn. ‘Ik houd de ontwikkelingen rond MIAUW vanzelfsprekend graag in de gaten, maar ik vind het belangrijk om zorgvuldig met stakeholders te bekijken wat de haalbaarheid en wenselijkheid van de verschillende methodieken is en wat de beste aanpak is voor de overheid,’ aldus Szabó.

Zekerheid voor bestuurders

MIAUW is een methode van cyberveiligheidsexpert en kattenliefhebber Brenno de Winter, werkzaam bij het ministerie van VWS. ‘Ik was het niet gaan doen als het er al was,’ zegt hij. De keurmerken en methodieken waar de staatssecretaris op doelt, zijn voor leveranciers van pentests, benadrukte ook Six Dijkstra in de Kamer. Hij wil juist dat de bestuurders, die onder NIS2 verantwoordelijk zijn voor cyberveiligheid, meer zekerheid hebben dat de pentest die ze laten afnemen ook echt iets voorstelt.

De Winter is blij dat de Kamer het belang inziet een gestandaardiseerde methodiek voor pentest-opdrachten. ‘In onze methodiek wijzen we gewoon op open standaarden,’ zegt hij. ‘En we passen er een paar regels aan toe die erg logisch zijn en voorkomen dat overheden opnieuw het wiel gaan uitvinden.’

Auditor

Het enige wat volgens De Winter echt nieuw is aan de methodiek, is de toevoeging van een auditor die controleert of het proces goed is doorlopen. ‘Dat rapport van de auditor kun je gebruiken om in je verkoopketen te laten zien hoe je ervoor staat. Dat is nodig om onder NIS2 meer controle te hebben. Je hebt nog steeds marktpartijen die gewoon verbieden dat je de pentest aan derde partijen verstrekt. Dat draaien wij om. De klant beslist in dezen.’