Pentest & code-inspectie voor verzekeraar

“Dankzij Sincerus kon de zorgverzekeraar aantonen dat werd voldaan aan het normenkader dat door DigiD was opgesteld.”

DigiD is de naam van een systeem waarmee Nederlandse overheden op internet iemands identiteit kunnen verifiëren; een soort digitaal paspoort voor overheidsinstanties. DigiD is in beheer bij de gemeenschappelijke beheerorganisatie van de overheid: Logius.

Een Nederlandse zorgverzekeraar met enkele miljoenen verzekerden gebruikt DigiD om klanten via haar website toegang te geven tot informatie. Om toestemming te krijgen en te houden voor het gebruik van DigiD als inlogmiddel, worden strenge eisen gesteld aan de veiligheid van de web-omgeving van de zorgverzekeraar. De zorgverzekeraar moet op regelmatige basis (en in ieder geval een keer per jaar) aangeven in hoeverre de omgeving voldoet aan verschillende criteria die gespecificeerd zijn in een norm. Een dergelijke audit dient te worden uitgevoerd door een externe partij. Vanwege haar uitgebreide kennis van informatiebeveiliging en ruime ervaring met penetratietesten werd Sincerus om hulp gevraagd.

Marco Schultewolter was als Technisch Security Consultant vanuit Sincerus bij het project betrokken. Schultewolter: “Om te bepalen in hoeverre de zorgverzekeraar voldeed aan de norm hebben we verschillende tests uitgevoerd en checks gedaan. Allereerst hebben we de architectuur tegen het licht gehouden en gekeken of hier vanuit informatiebeveiligingsperspectief kwetsbaarheden in te ontdekken waren. Daarnaast hebben we penetratietesten uitgevoerd, zowel op een white box als op een black box manier. Ook hebben we een “her-test” gedaan: we hebben geverifieerd of kwetsbaarheden die in voorgaande tests naar voren kwamen nu onder controle zijn.

Pentesten

Er kunnen diverse soorten penetratietests worden onderscheiden, de witte doos penetratietests (Engels: white box pentest) of de zwarte doos penetratietests (Engels: black box pentest). In het eerste geval krijgt de pentester voor het testen al informatie over het netwerk of de computer die getest wordt. In het laatste geval juist niet.
Tenslotte hebben we een code-inspectie uitgevoerd. We hebben gekeken hoe de code van de portal is opgebouwd en welke keuzes zijn gemaakt op het gebied van design. Uit de tests en scans die we hebben uitgevoerd, zijn verschillende verbeterpunten naar voren gekomen. Daarnaast hebben we risico’s inzichtelijk kunnen maken, zodat de benodigde maatregelen genomen konden worden. Op basis van de code-inspectie hebben we inzicht kunnen verschaffen in de mate waarin de gemaakte keuzes veilig zijn geweest. Interessant hierbij was dat we een kwetsbaarheid hebben kunnen identificeren die in een later stadium tot problemen had kunnen leiden. Op basis van deze bevinding is een belangrijke verandering doorgevoerd in de richtlijn voor de ontwikkelaars van de zorgverzekeraar.”