Nieuwe VWS-scantool vindt wekelijks nieuwe kwetsbaarheden bij coronatestaanbieders

KAT is een tool die VWS in samenwerking met Z-Cert - het Computer Emergency Response Team voor de zorg – bouwde, waarmee gescand kan worden op kwetsbaarheden in apps, software en infrastructuren. Uitslagen van die scans kunnen vervolgens aan elkaar verbonden worden.

VWS gebruikt KAT onder meer voor de coronatestaanbieders die op CoronaCheck aangesloten zijn of willen worden. Nederlanders die via deze aanbieders negatief getest zijn op COVID-19 kunnen hun uitslag gebruiken om een QR-code aan te maken in CoronaCheck, die bijvoorbeeld gebruikt kan worden bij reizen naar het buitenland.

Aanleiding: Testcoronanu

Afgelopen zomer bleek één van die testaanbieders – Testcoronanu – een datalek te bevatten. RTL Nieuws ontdekte dat Nederlanders via de browser direct in de database een valse negatieve testuitslag konden aanmaken. In die database stonden bovendien gegevens van alle mensen die via Testcoronanu een coronatest hadden gedaan. Die gegevens waren dus voor iedereen in te zien.

Het lek ontstond doordat de database Firestore van Google niet goed ingesteld was. Die fout komt echter zo vaak voor, dat hij in de door VWS verplicht gestelde pentest naar voren had moeten komen. Maar dat was niet het geval. “Of de papieren kloppen niet of het proces klopt niet”, zei Brenno de Winter, die als privacy- en securityexpert bij CoronaCheck betrokken is, daar destijds over tegen AG Connect.

Nu laat VWS weten dat de destijds aangeleverde documentatie van Testcoronanu geen reden gaven om niet aangesloten te kunnen worden. Dat wekt dus de suggestie dat het probleem niet in de aangeleverde pentest vermeld werd. Waarom dat is, is onduidelijk. Testcoronanu reageert niet op vragen van AG Connect. VWS kan deze informatie niet geven, omdat het om bedrijfsgevoelige informatie gaat, die zij niet openbaar mogen maken.

Na deze affaire werden extra maatregelen genomen om herhaling te voorkomen. Zo voert het ministerie nu ter verificatie een eigen pentest aan als onderdeel van de aansluitprocedure, wat voor het incident nog niet mocht. Maar een pentest is slechts een momentopname, benadrukt VWS in gesprek met AG Connect. Daarom werd eerder ook al periodiek gemonitord om te zien of testaanbieders de aansluitvoorwaarden naleven. Daarnaast wordt er nu dus ook gescand met KAT, om te zien of er nieuwe kwetsbaarheden of andere problemen in de systemen van de testaanbieders zitten.

Drie tot vier meldingen per week

KAT start bij een scan met het maken van een kopie van “feitelijke werkelijkheid”, legde toenmalig demissionair VWS-minister Hugo de Jonge eind november uit in een brief aan de Tweede Kamer. “Binnen deze kopie kan gezocht worden naar antwoorden op beveiligingsvraagstukken en beleidsvragen. Denk aan het opsporen van oude of kwetsbare software, het controleren welke infrastructuur er in de organisatie gebruikt wordt en het voldoen aan toegankelijkheidseisen door websites.”

En dat werpt vruchten af, vertelt VWS nu. Volgens het ministerie komen er in bijna de helft van de gevallen nog problemen boven water. Die hadden echter niet per se allemaal in de eerdere pentest gevonden kunnen worden. Er kunnen ook nieuwe problemen ontstaan omdat er nieuwe elementen aan de infrastructuur of software zijn toegevoegd, of omdat er iets is veranderd binnen de systemen van de testaanbieder. Daarnaast ontdekken beveiligingsonderzoekers regelmatig nieuwe kwetsbaarheden, die eerder nog niet bekend waren. Die komen dus ook dan pas via KAT naar boven.

Blijkt een probleem een CVSS-score van 4 of hoger op een schaal van 10 te hebben, dan worden testaanbieders op de hoogte gesteld. Is een gevonden probleem een kritieke fout, dan moet deze binnen een uur opgelost worden door de testaanbieder. Bij een high-aanduiding krijgt de organisatie een dag, bij een medium probleem een week.

VWS stelt dat er over het algemeen snel gereageerd wordt op nieuw gemelde problemen. Zo was een nieuw gevonden lek in WordPress met een CVSS-score van 9,8 dat ook diverse testaanbieders raakte al binnen tien minuten overal gedicht.