Skip naar inhoud

VWS: ‘Dit lek was met elke pentest gevonden’

Wilt u deze bijdrage aanbevelen? Dat kan via:

Het ministerie van VWS controleert niet met een eigen penetratietest (pentest) of de systemen van aanbieders van coronatests, die gekoppeld zijn met de Coronacheck-app, deugen. De verantwoordelijkheid voor die pentest ligt volledig bij de externe aanbieders. Dat vormt een flink risico voor de Coronacheck-app, dat de officiële verstrekker is van digitale testbewijzen. De procedure gaat mogelijk op de schop.

Bij een negatieve testuitslag stuurt een externe coronatestaanbieder deze naar de app van VWS die deze omzet in een QR-code waarmee iemand kan aantonen dat hij getest of gevaccineerd is en op reis kan of een evenement kan bezoeken.

Afgelopen weekend meldde RTL-nieuws dat door een lek bij aanbieder Testcoronanu het mogelijk was om valse reis- en toegangsbewijzen in de app Coronacheck te krijgen. Ook waren de privégegevens van ruim 60.000 mensen die bij dat bedrijf een coronatest deden, gelekt.
Een verslaggever kon na het maken van een afspraak via twee regels code in de webbrowser toegang krijgen tot de database van de coronatestaanbieder. Door schrijfrechten kon hij een eigen negatieve test toevoegen. Die data werd via een koppeling met  de CoronaCheck-app van de overheid omgezet in een officieel digitaal testbewijs. Het toonde aan hoe mensen die niet getest zijn aan een negatief testbewijs kunnen komen.
VWS heeft de koppeling tussen de systemen van de CoronaCheck-app en coronatest-aanbieder Testcoronanu direct gestaakt nadat het lek bekend werd.

Stappenplan

“‘Dit lek was met elke pentest naar voren gekomen.’”

Volgens de woordvoerder van VWS zijn er rond de dertig commerciële aanbieders van coronatests aangesloten op de Coronacheck-app. Volgens hem gaat het in het geval van het datalek om een incident en zijn in de andere gekoppelde systemen geen kwetsbaarheden van die omvang aangetroffen. ‘Dit lek was met elke pentest naar voren gekomen.’ Er wordt nu onderzocht of er en zo ja, hoe, de pentest heeft plaatsgevonden.
Om die aansluiting tot stand te krijgen, moeten die partijen allerlei procedures volgen en documentatie voorleggen. Zoals beveiligings- en privacy-eisen en een pentest.
Het aansluiten op de app van de rijksoverheid verloopt volgens een strikt stappenplan, maar lijkt gezien het bekende beveiligingslek vooral een papieren tijger te zijn. In de lijst met antwoorden op veelgestelde vragen staat over de pentest dat de aanbieder verantwoordelijk is om kwetsbaarheden te beheersen (zie kader). Daarmee legt de overheid wel erg makkelijk de verantwoordelijkheid bij de andere partij, zeker in een tijd waarin steeds vaker wordt gewaarschuwd voor risico’s in de keten van partners en toeleveranciers.

NEN 7510

Op welke systemen en applicaties moet ik de pentesten uitvoeren?

De pentest moet u uitvoeren op alle systemen in de keten die van toepassing zijn voor de Coronacheck-app. Dit heeft in ieder geval betrekking op de applicatie die mensen gebruiken om afspraken te maken, voor het verwerken van testen en delen van uitslagen met de gebruiker. Een aanbieder is eindverantwoordelijk om de kwetsbaarheden van de systemen te beheersen die onderdeel zijn van de keten volgens NEN 7510.

Bron: Vragen en antwoorden over aansluiten op Coronacheck-app

Weer in de fout

Na het melden van het beveiligingslek meldde RTL-nieuws dat het gewraakte Testcoronanu opnieuw in de fout is gegaan met data en privacy. Er ontstond een nieuw datalek doordat alle mensen, die op de hoogte werden gesteld dat hun afspraak niet door ging, ‘in cc’ waren gezet. Daardoor waren alle mailadressen van mensen met een geannuleerde afspraak zichtbaar.

Lees ook:

Nederland digi-vaardigst, België gemiddeld

Nergens in Europa zijn relatief meer inwoners bedreven in het gebruik van internet, computers en software dan in Nederland en Finland. Beide landen voeren de ranglijst aan van digitale vaardigheden. België scoort gemiddeld. Dit blijkt uit onderzoek door het Centraal Bureau voor de Statistiek (CBS) en Eurostat.

Security-specialist loopt verhoogd risico op burn-out

Het merendeel van securityprofessionals zegt harder te werken dan ooit, en het werk desalniettemin niet af te krijgen. Ook kan het werk stressvol zijn. Tegelijkertijd biedt cybersecurity een prachtig loopbaanperspectief.

Rekenkamer signaleert risico’s bij algoritmes

De Algemene Rekenkamer heeft een toetsingskader ontwikkeld om algoritmes te beoordelen. Het orgaan baseert zich op een studie naar negen algoritmes die bij de overheid in gebruik zijn; slechts drie voldeden aan alle aspecten. Staatssecretaris Digitalisering Van Huffelen gebruikt de bevindingen om digitale voorschriften te verbeteren.

Helft bedrijven vertrouwt op oude securitystrategie

Uit een studie van het Ponemon Institute uit de Verenigde Staten blijkt dat een aanzienlijk deel van de bedrijven nog steeds beveiligingsprocessen en -beleid van vóór de coronapandemie gebruikt, waardoor hun veiligheid in gevaar komt.

Two-thirds of UK organisations defrauded since start of pandemic

Nearly two out of three UK companies say they have experienced some form of fraud or economic crime in the past two years, according to a report

Is de Franse reparatie-index een jaar later zijn beloftes nagekomen?

De Franse reparatie-index is op 1 januari 2021 in werking getreden. Een wereldprimeur, het is van toepassing op 5 productcategorieën: smartphones, laptops, wasmachines, tv's en grasmaaiers.

Wilt u deze bijdrage aanbevelen? Dat kan via:

Klaar voor de beste oplossing voor uw IT & ICT-situatie?

Ik heb mijn wachtwoord gewijzigd in “onjuist.” Dus wanneer ik vergeet wat het is, zal de computer zeggen: “Uw wachtwoord is onjuist.”