Beheer

Security
CoronaCheck

Overheid gaat zelf extra pentest doen voor coronatesters

Eigen pentest na datalek bij testbedrijf en vervalste testbewijzen.

© ministerie van VWS
25 augustus 2021

Eigen pentest na datalek bij testbedrijf en vervalste testbewijzen.

Het ministerie van VWS gaat voortaan zelf nog pentests uitvoeren op bedrijven die coronatests uitvoeren. Deze securitycontrole komt bovenop de "strenge aansluitvoorwaarden aan testaanbieders" voor aansluiting op de CoronaCheck-app van de overheid. Die voorwaarden omvatten een zelf aan te leveren pentestrapportage, maar dat blijkt niet waterdicht.

Demissionair VWS-minister Hugo de Jonge meldt de pentest door de overheid nu in antwoord op Kamervragen van meerdere Kamerleden. Aanleiding voor die vragen - en de invoering van extra controle - is het datalek bij Testcoronanu, dat in juli is blootgelegd door RTL-journalist Daniël Verlaan. Daarbij zijn privégegevens van 60.000 mensen uitgelekt én is de mogelijkheid ontdekt om valse testbewijzen aan te maken. Daarmee konden mensen dus ten onrechte toegangs- en reisbewijzen aanmaken in de app CoronaCheck.

'Ernstige tekortkoming'

"Duidelijk is dat er een ernstige tekortkoming in de informatiebeveiliging aanwezig was bij Testcoronanu BV. Dit is één van de op CoronaCheck aangesloten testaanbieders en er zijn daarom direct maatregelen getroffen", geeft De Jonge aan. Het betreffende testbedrijf, dat tien locaties in Nederland heeft en drie in België, is door het ministerie van VWS afgesloten van de app. Daarnaast is de testaanbieder op inactief gezet in het afsprakenportaal.

"Het ministerie van VWS monitort in het kader van stelselcontrole of aangesloten testaanbieders de aansluitvoorwaarden naleven en met pentesten of er kwetsbaarheden zijn die moeten worden opgelost", schrijft de demissionaire bewindsman. "Bevindingen uit deze monitoring worden met de testaanbieders gedeeld zodat zij deze kunnen oplossen. Indien nodig kan in voorkomende gevallen tot afsluiting worden over gegaan zoals bij Testcoronanu BV het geval is geweest. Naast de monitoring wordt in het aansluitproces de pentest van de testaanbieder vanaf nu geverifieerd met een extra controle door het ministerie van VWS. "

Pentest VWS na papieren controle

De tot op heden gehanteerde controle 'op papier' omvat het overleggen van bewijsstukken, waaruit "moet blijken dat voldaan wordt aan wet- en regelgeving én aan de geldende normen voor informatiebeveiliging in de zorg (waaronder NEN7510, 7512, 7513)". De stukken die dit moeten aantonen, omvatten onder meer een DPIA (data protection impact assessment) en een pentestrapportage. Laatstgenoemde blijkt niet afdoende te zijn geweest: het lek in Testcoronanu had met een pentest wel gevonden moeten worden.

Demissionair minister De Jonge meldt nu dat VWS ter verificatie een eigen pentest gaat uitvoeren als onderdeel van de aansluitprocedure. Verder start het ministerie een nader onderzoek naar de juistheid van de aangeleverde bewijsstukken door Testcoronanu. Eerder heeft security-en privacy expert Brenno de Winter, die betrokken is bij CoronaCheck al aan AG Connect verteld dat óf de papieren niet kloppen óf het proces niet klopt.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.