Leveranciersmanagement is een belangrijk onderdeel van het Normenkader IBP FO. Schoolbesturen moeten controle hebben op de IT-diensten, die ze uitbesteden. Zeker binnen het primair en voortgezet onderwijs worden veel Software-as-a-Service(SaaS)-oplossingen gebruikt. SIVON ondersteunt en ontzorgt scholen bij het goed inrichten en uitvoeren van hun leveranciersmanagement. Dit als onderdeel van het programma Digitaal Veilig Onderwijs.*
Een van de instrumenten die SIVON hiervoor inzet is de zogenaamde penetratietest. Ook wel pentest genoemd. In een pentest probeert een ethical hacker een computersysteem of software te hacken om kwetsbaarheden op te sporen.
Waarom een pentest?
Door het gebruik van de SaaS-diensten door scholen heeft het onderwijs veel gevoelige data in de cloud (IT-omgeving van leverancier) staan. Volgens de AVG moet de verantwoordelijke voor deze data (de school) goede afspraken maken met de verwerker (de cloud leverancier). Bekende clouddiensten in het onderwijs zijn o.a. de big tech (Google, Microsoft) , digitale leermiddelen en leerlingadministratiesystemen. Leveranciers moeten de garantie afgeven dat zij een hoog niveau van bescherming van de data hanteren.
Door het uitvoeren van een pentest zie je of de bescherming voldoende is en wat leverancier en school kunnen verbeteren om de veiligheid van de data te beschermen.
Waarom pentest via SIVON?
In haar rol als uitvoerder van het leveranciersmanagement voor de scholen in het primair en voortgezet onderwijs kan SIVON een pentest uitvoeren namens alle scholen. Hierdoor hoef je als individuele school geen pentest meer uit te voeren. Dit scheelt tijd, kennis en geld.
SIVON heeft bij leveranciers pentesten aangevraagd, maar zag dat er veel verschil zit tussen de pentesten. De kwaliteit van een pentest is erg afhankelijk van de uitvoerende partij. We zagen dat pentesten werden uitgevoerd door partijen die niet deskundig genoeg hiervoor zijn of degene die de pentest uitvoerde was ook betrokken bij andere diensten. Een pentester moet onhankelijk zijn en dus geen IT-partner van de leverancier zijn.
Wat hebben we gedaan?
Om te komen tot een pakket aan goede eisen aan een pentest heeft SIVON leverancier Prowise benaderd om op een van hun diensten een pentest uit te voeren door de onafhankelijke partij, Claranet. Claranet is gespecialiseerd in cybersecurity.
Victor van den Bosch, Security Officer Prowise antwoordde direct positief op de vraag van SIVON om mee te werken. Victor: “Bij Prowise staat Privacy en Security hoog in het vaandel, getuige de strenge BSI-certificering die onlangs wederom werd bekrachtigd. De vraag van SIVON past dan ook uitstekend bij onze eigen visie op de hoge veiligheidseisen van dataverwerking in het onderwijs. Prowise GO is onze dienst die zich daar uitstekend voor leent en werd samen met gerelateerde IAM (Identity & Access Management) onderdelen door Claranet getest”.
De pentest is in het vierde kwartaal van 2023 uitgevoerd. De bevindingen worden meegenomen in het opstellen van het programma van eisen voor een pentest.
“De pentest voor SIVON bij Prowise was voor ons ook een nieuwe opzet, die uitstekend bevallen is”. Mark Wellink, Sales Specialist van Claranet is enthousiast over de samenwerking: “We pentesten eigenlijk altijd bij en voor de opdrachtgever zelf, en voor ons was dit een eerste keer om het voor een softwarepartner te testen. De opzet is dan ook net iets anders. Het bepalen van de scope is sowieso een belangrijke stap in de test, en dat vergt in deze opzet net wat meer afstemming. In deze test zie je dat de internationale ervaring en kennis die we ingezet hebben, ook echt zijn vruchten afgeworpen heeft. Het is een soort sport voor onze pentesters om iets te vinden om te verbeteren en zo onze klanten weerbaarder te maken op security-gebied. Ik ben ervan overtuigd dat dit een uitstekende eerste stap is richting een nieuw programma van eisen voor leveranciersmanagement.”
Conclusie
Een pentest is een goed instrument om de mogelijke aanwezigheid van kwetsbaarheden te toetsen. Er is altijd een kans dat een toepassing kwetsbaarheden bevat. Voor zowel gebruikers als leverancier is het een veilig idee als een toepassing periodiek getoetst wordt op kwetsbaarheden. Kwaliteit is daarbij wel belangrijk, niet alleen in de uitvoering maar ook in de rapportage van de bevindingen. Deze moeten zowel voor een technisch als niet technisch iemand te begrijpen zijn. Minimale eisen waaraan een pentest moet voldoen:
- moet uitgevoerd worden door Offensive Security Certified Professional (OSCP) gecertificeerde pentesters (https://hetccv.nl/keurmerken/cybersecurity/pentest/).
- Het resultaat van een pentest wordt beschreven in een risico rapportage van de kwetsbaarheid middels de CVSS 3.0 methodiek (https://www.first.org/cvss/v3.0/specification-document).
- Gebruik een greybox methode, waarbij een ethische hacker dezelfde toegangsrechten krijgt als een normale gebruiker van het systeem.
- Gebruik een Whitebox test om inzicht te krijgen in verborgen kwetsbaarheden.
- Definieer goed de scope van een jaarlijkse pentest en zet dit om in een meerjarenplan. Dit geldt vooral bij applicaties die te omvangrijk zijn om in een keer te testen.
- Wissel eens in de 2 à 3 jaar van pentest partij. Elke pentester pakt een pentest net even iets anders aan en ziet mogelijk kwetsbaarheden waar een ander blind voor is.
Victor: “Het project liep voorspoedig, waarbij Claranet ons zelfs op enkele items heeft kunnen attenderen die wij direct hebben verbeterd. Wij zijn positief over de gevonden uitkomsten en erg tevreden over hoe de samenwerking met SIVON en Claranet is gegaan. Wij vertrouwen erop dat onze input in de toekomst terug te vinden is aan de hogere vereisten die klanten aan SAAS-leveranciers in het algemeen stellen.”
Wil je als schoolbestuur zelf een pentest aanvragen bij jouw leverancier dan kun je bovenstaande bevindingen gebruiken.
Pentesten met SIVON
SIVON inventariseert of er belangstelling is om in gezamenlijkheid pentesten uit te voeren. Heb je interesse om hieraan mee te doen, stuur dan een e-mail naar ibp@sivon.nl.
*Deze dienst maakt deel uit van ons ondersteuningsaanbod binnen het programma Digitaal Veilig Onderwijs.
