Kwetsbaarheidsscan
Overheidsorganisaties hebben veel gevoelige data over burgers en bedrijven. Onbevoegden mogen hiertoe geen toegang krijgen. Daarom is het belangrijk de IT-systemen en de software voldoende te beschermen. Regelmatige updates zijn één manier om de kwetsbaarheden te verkleinen. Besturen kunnen echter een stap verder gaan en actief hun kwetsbaarheden opsporen. De provincie West-Vlaanderen doet dit via kwetsbaarheidsscans, aanval- en penetratietesten.
-
Een kwetsbaarheidsscan geeft via specifieke software een overzicht van gedetecteerde kwetsbaarheden op de gescande systemen.
-
Een aanval- en penetratietest geeft eveneens een overzicht van de bestaande kwetsbaarheden. Maar deze test gaat bovendien ook na in hoeverre deze kwetsbaarheden een risico voor de organisatie vormen en welke de mogelijke beheersmaatregelen zijn. Aanval- en penetratietesten kunnen nog niet gedetecteerde kwetsbaarheden op de systemen of in de organisatie gebruiken om toegang te krijgen tot kritische systemen/gegevens.
Op basis van de resultaten van deze scans en testen kan de provincie eventuele gaten in de beveiliging van de IT-omgeving identificeren en aanpakken. Hoe minder kwetsbaarheden, hoe kleiner de kans dat malafide personen deze kunnen misbruiken.
De eigen IT-medewerkers kunnen voldoende opgeleid worden om periodiek kwetsbaarheidsscans uit te voeren en de analyseresultaten te interpreteren. Aanval- en penetratietesten worden meestal overgelaten aan gespecialiseerde bedrijven, aangezien dit een specifieke kennis vereist (een handreiking voor dit soort testen is onder meer hier te vinden).
Stappenplan voor implementatie
- Bekijken welke IT-systemen het meest kwetsbaar zijn.
- Vastleggen van de periodiciteit voor de uitvoering van scans en/of testen.
- Bepalen van de rollen en verantwoordelijkheden voor de uitvoering van de scans/testen en voor de interpretatie van de resultaten. Bepalen wie de resultaten interpreteert en er conclusies aan verbindt.
- Opleiding voorzien voor de betrokken IT-medewerker(s).
- Toewijzen van de verantwoordelijkheid voor de opvolging van gedetecteerde zwakke plekken.
Tips voor opzet in een organisatie
- Leid de IT-medewerkers voldoende op om deze taken op te nemen.
- Schrijf een procedure uit voor het traceren en opvolgen van kwetsbaarheden.
- Bespreek de vertrouwelijkheid van de resultaten met eventuele leveranciers en leg de afspraken daaromtrent schriftelijk vast.
- Maak concrete afspraken met leveranciers indien zij de systemen van de organisatie extern beheren (bv. Cloud-opslag). Wie de scan/test wil uitvoeren heeft mogelijk niet de bevoegdheid om systemen te testen die het bestuur niet zelf beheert.
Welke risico’s worden afgedekt door de implementatie van deze goede praktijk?
- Systemen werken niet meer door virussen.
- Door de uitval van systemen kunnen diensten niet geleverd worden.
- Burgers krijgen problemen omdat documenten niet op tijd kunnen worden afgeleverd.
- Cruciale informatie gaat verloren.
- Informatie komt in verkeerde handen terecht. Privacy wordt geschonden.