Innovatie & Strategie

Security
Corona check app

VWS maakte securityscan voor allen, in kader van corona

KAT-systeem voert volautomatisch, constant securityscans uit.

CoronaCheck-app © Shutterstock Henk Vrieselaar
22 juni 2022

KAT-systeem voert volautomatisch, constant securityscans uit.

IT-projecten bij en door de overheid hebben nogal een negatieve reputatie: kosten te veel, lopen flink uit, zijn niet breed toepasbaar, leveren de maatschappij niet altijd veel op. Enzovoorts. Uitzonderingen zijn er zeker en nu komt daar een opvallende uitschieter bij: een systeem om volautomatisch op constante basis securityscans uit te voeren. Ontwikkeld bij het ministerie van VWS en straks als open source beschikbaar voor iedereen.

De presentatie op het Securitycongres van AG Connect zat visueel vol met poezenplaatjes, die werden begeleid door woordspelingen met ‘feline’ verwijzingen. Een lollig intermezzo tussen de zware securitysessies? Nee, zeker niet. De serieuze presentatie van security-expert Brenno de Winter ging over KAT, de Kwetsbaarheden Analyse Tool. Een systeem ontwikkeld bij het ministerie van Volksgezondheid, Welzijn en Sport (VWS) vanwege corona.

Grip op securitycontrole

Concreter: een systeem ontwikkeld om grip te krijgen op securitycontrole, bijvoorbeeld van bedrijven die coronatests aanbieden. De resultaten van die tests moeten betrouwbaar zijn, want ze komen in de CoronaCheck-app. Niet elk bedrijf is even bedreven in beveiliging, wat ook geldt voor coronatesters. Daarbij zijn pentests niet heiligmakend, zo is ook gebleken. VWS is zelf pentests gaan uitvoeren, naar wens van de Tweede Kamer toen bleek dat TestCoronaNu een datalek had én dat het daar mogelijk was om te frauderen met testuitslagen.

De pentests van VWS komen bovenop de strenge aansluitvoorwaarden die het ministerie stelt aan coronatestaanbieders. Praktisch probleem was daarbij capaciteit in de commerciële securitymarkt en intern bij VWS. Plus het bittere feit dat ‘traditionele pentests’ eigenlijk niet voldoen. Dus een serieus systeem dat op continue basis kan scannen: hoe goed - of niet - is security op orde? Dit dan voor testaanbieders maar ook andere derden én het ministerie zelf.

Uiteindelijk is KAT er gekomen, maar niet zonder slag of stoot. In den beginne van de coronacrisis was er de appathon van ‘coronaminister’ Hugo de Jonge. Een goedbedoeld overheidsinitiatief om outside of the box te denken en zo creatief te komen tot nuttige corona-apps. De Jonge sprak later van een ‘verkapte marktconsultatie’, waarvan in ieder geval de communicatie wel wat beter had gekund. De verwachting was te hoog en het resultaat was teleurstellend.

De als mislukt te beschouwen corona-appathon van VWS heeft de overheid waardevol inzicht gegeven: “De conclusie was: dit moeten we zelf doen”, aldus De Winter, chief security and privacy operations bij het ministerie. Eenzelfde inzicht heeft het ministerie wat betreft het controleren van externe partijen op hun IT-beveiliging. Maar zoals al gezegd, een pentest is niet heiligmakend. Enerzijds kan de (beperkte) scope van zo’n beveiligingskeuring parten spelen. Anderzijds is zo’n ‘securitysteekproef’ slechts een momentopname.

Zelf doen, maar hoe?

Zoiets zelf doen geeft geen garantie voor succes. Dat moet dus anders. In december 2020 werd al duidelijk dat het IT-component in de coronacrisis groot en groter werd. De komst van vaccins in januari 2021 beloofde een enorme registratieslag te worden, waarbij beveiliging en privacy cruciaal zijn. De Winter benadrukt dat security en privacy “niet onderhandelbaar” zijn; inleveren op het een ten gunste van het ander is niet aan de orde.

VWS had in het kader van corona al een hele set aan systemen ontwikkeld; voor tests, voor vaccinaties, voor registratie, voor meldingen, enzovoorts. Zo’n twintig projecten, zo’n veertig testaanbieders. Geen honderdvijftig, geen vijftienhonderd, maar veel meer domeinen van VWS. Met op termijn natuurlijk meer zorgaanbieders die aangesloten moeten worden, én gecontroleerd op security

Extern beleggen is lastig, niet alleen omdat het door aanbestedingen tijdrovend kan zijn, maar ook omdat securitybedrijven al overspoeld zijn. Hetzelfde gold echter voor het kleine team binnen VWS. De IT’ers daar stonden al onder hoge druk: te veel werk voor te weinig mensen. Overspannen, burnout, hartproblemen, afhakers, de coronadruk geldt niet alleen voor de zwaar belaste medewerkers in de zorg. Dit moet anders, was de onvermijdelijke conclusie.

“En het moest nú; er was een noodsituatie”, vertelt VWS’ overkoepelende CISO (chief information security officer) Oscar Koeroo. De coronacrisis denderde door. Met het oog op deze Herculestaak, en de aankomende groei, moest het ook meteen in tooling worden gevat, zegt hij. “Want dan is het schaalbaar.” Het oppervlak van de IT-omgeving dat bestreken moest worden, inclusief vele externe organisaties, is immers enorm. “En het rijst de pan uit.”

Over beveiliging en risico’s

In een brainstorm is toen geopperd zelf een risicotool te maken. Bijkomende complicatie, aldus De Winter, is dat software ontwikkelen “überhaupt vreemd is voor de overheid”. Toch is dat gedaan, waarbij bewust ook “niet per se securitymensen zijn aangetrokken, en ook junior developers”.

Eerst is nog de initiële insteek van ‘risico’ omgedacht naar kwetsbaarheden. Het resultaat is het ambitieuze KAT. Een project om de niet onaanzienlijke ‘coronasubcrisis’ van IT-security aan te pakken. En IT-beveiliging in het algemeen, dat ook, bij iedereen die KAT wil gebruiken.

Het gaat hierbij om het verbeteren van beveiliging en het inperken van risico’s. Die twee zaken zijn gerelateerd, maar zeker niet hetzelfde. Concern-CISO Koeroo legt uit dat iemand die over security gaat niet dezelfde is als degene die over risico gaat. Risico-acceptatie is iets voor ‘de business’, de entiteit die eigenaar is, zo heeft IT-onderzoeksbureau Gartner al eens uitgelegd aan AG Connect. Bovendien, stipt Koeroo aan, zijn risico’s ook een kwestie van context.

‘Ben ik kwetsbaar?’

De Winter vult aan: “Er is nu een bias binnen security”, bijvoorbeeld dat een openstaande poort X een probleem is. Maar dat hoeft niet, dat is afhankelijk van wat erachter hangt. Bij reguliere beveiligingscontroles, zo vertelt De Winter, gaat het vaak om de vraag ‘is dit veilig?’. “Maar veilig is een rekbaar begrip.” Het moet eigenlijk gaan om: ben ik kwetsbaar? Het antwoord op die vraag is afhankelijk van onder meer tijd. Wie nu niet kwetsbaar is, kan dat morgen wel zijn.

Binnen VWS zijn een elftal realisaties geformuleerd, waaronder de erkenning dat veel security-incidenten voortkomen uit ‘basisfails’. Er worden heel vaak dezelfde fouten gemaakt. Een andere realisatie die ten grondslag ligt aan KAT is de erkenning dat security geen controle vooraf of steekproef om de zoveel tijd moet zijn. ‘Security Ops’ is nu een realiteit, benadrukt De Winter.

Cruciaal bij betere beveiliging is het goed kennen van de eigen IT-infrastructuur en de data daarin. Dat omvat expliciet ook logs, zodat er gezien wordt wat er wanneer mis kan zijn. Dankzij KAT was de grote securityramp van Log4j voor VWS niet zo’n drama. Het ministerie hoefde niet ineens haastig te scannen of en waar die hackbare opensourcetool in gebruik is, en in welke versie. “We hadden in twintig minuten een nieuwe scanfunctionaliteit toegevoegd.” Daarna was er natuurlijk nog wel wat werk te verrichten met de resultaten van die scan.

Feiten en conclusies scheiden

Een andere realisatie, die is doorgevoerd in KAT is de scheiding van feiten en conclusies. Dat een poort open staat, is een feit. Of dat wel of niet onveilig, is een conclusie. Eerst worden feiten vergaard, dan wordt die data gemodelleerd. Binnen KAT worden feiten opgeslagen in de KATacombe-database, waarna OctoPOES daar een keuring op uitvoert - om te komen tot conclusies.

Ja, de diverse onderdelen van de Kwetsbaarheden Analyse Tool - een compleet kattennest - hebben allemaal namen die iets hebben met katten, poezen, boefjes, kittens, en aanverwanten. Allemaal met bijbehorende foto’s van echte katten natuurlijk, zoals te zien op het Securitycongres in april dit jaar.

In de nabije toekomst gaan we meer zien van KAT. Terwijl het ontwikkelwerk aan zo’n systeem natuurlijk eigenlijk nooit af is, komt er wel een mijlpaal in zicht: het openstellen van de broncode. Jawel, KAT komt niet alleen publiekelijk beschikbaar maar ook gratis en inzichtelijk, als open source. Volgens plan vóór het zomerreces.

Ideaal van open source

Een eerste gebruiker is al opgestaan: Z-CERT, de non-profit IT-securityorganisatie voor de Nederlandse zorgsector. Z-CERT draagt ook bij aan de ontwikkeling van KAT, wat het ideaal is van open source.

Het hoeft echter niet te blijven bij VWS en zorginstellingen. Iedereen kan aanhaken; als bijdrager of alleen als gebruiker, elke organisatie voor zichzelf of ook voor anderen. Dit omvat dus ook securitybedrijven. Het doel van KAT is niet om bestaande securitytools te vervangen of te verdringen, maar aan te vullen.

Magazine AG Connect

Dit artikel is ook gepubliceerd in het magazine van AG Connect (juni 2022). Wil je alle artikelen uit dit nummer lezen, zie dan de inhoudsopgave.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.