Sinds enige tijd testen we periodiek de veiligheid van diverse systemen en applicaties. Aangezien we momenteel druk bezig zijn met het vernieuwen en herprogrammeren van de Z-Info applicatie, leek het ons een geschikt moment om deze grondig te onderzoeken voordat deze publiekelijk beschikbaar gesteld wordt.

Dit zogenaamde “testen” doen we met behulp van een ‘pentest’ of volledig, een ‘penetration test’. Gedurende deze test bekijken we de applicatie vanuit verschillende kanten en benaderen we de applicatie zoals deze ook door een aanvaller benaderd zou worden. Met andere woorden, welke zwakheden bevinden zich in de applicatie en zijn we in staat om deze uit te buiten? Want een kwetsbaarheid kan al snel resulteren in het verlies van data, manipulatie van de data en zelfs tot toegang tot de systemen. Met een mooi woord noemen we dit ‘Remote Code Execution’. In dat geval heeft de aanvaller de controle over de achterliggende server en kan deze eventueel ook het achterliggende netwerk benaderen voor andere malicious activiteiten. 

Tijdig controleren is tijdig bijsturen

We hebben de Z-Info applicatie in het verleden ook getest en deze resultaten gebruiken we uiteraard weer als baseline waarmee we de nieuwe resultaten vergelijken. Het positieve nieuws is dat de huidige resultaten vele malen beter zijn dan de resultaten van de (bijna) verouderde versie. Dit laat heel duidelijk zien dat tijdig updaten, meegaan met nieuwe technieken en het vasthouden van moderne programmeerstandaarden wel degelijk zijn vruchten afwerpt. Geen ‘critical’ kwetsbaarheden meer maar slechts een paar aanbevelingen die gedurende het ontwikkelproces nog prima doorgevoerd kunnen worden. Ook dat is een goede reden om tijdig de security te laten controleren. Want wanneer je tijdig controleert kun je ook tijdig bijsturen.

Alles goed, dus nu zijn we klaar? Nee, zo werkt het niet helaas. We zullen de applicatie periodiek blijven onderwerpen aan geautomatiseerde kwetsbaarheden scans en aan handmatige pentesten. Technieken, methodes en inzichten veranderen en dus kan iets wat nu nog als ‘veilig’ wordt bestempeld volgend jaar ineens een aandachtspunt zijn. Goede resultaten zijn positief voor nu en die willen we in de toekomst graag behouden. Dus ook hier is een goede PDCA cyclus belangrijk. 

Pentest als dienst?

Doordat we merken dat het periodiek testen, vaststellen van een baseline en het doorvoeren van verbeteringen echt helpt bij het optimaliseren van de digitale veiligheid zijn we aan het kijken of we deze dienst binnenkort ook aan onze waterschappen kunnen bieden. Hoe dit er exact uit gaat zien is nog niet bekend, op een later tijdstip volgt meer informatie.