Een onafhankelijke partij voert minimaal één keer per jaar een penetratietest uit. Daarnaast voert onze security officer jaarlijks een kwetsbaarhedenscan uit.
Een penetratietest (PENtest) wordt uitgevoerd door een ethische hacker. Hierbij probeert deze een omgeving zoals een website of database te hacken en alle kwetsbaarheden in de omgeving te detecteren. De ethische hacker kijkt verder dan een kwetsbaarhedenscan. Met een penetratietest wordt bedrijfslogica meegenomen, zoals misconfiguraties in de firewall en het onbedoeld weergeven van bedrijfskritische data.
Een kwetsbaarhedenscan is een laagdrempelige manier om kwetsbaarheden in een netwerk of (web)applicatie in beeld te krijgen. Gedurende de scan analyseert een softwareprogramma automatisch naar bekende kwetsbaarheden. Dit kun je vergelijken met een virusscanner.
Technische kwetsbaarheden (OWASP)
In deze testen en scans wordt het Mett platform getest op de OWASP (Open Web Application Security Project) top 10 van de meest voorkomende technische kwetsbaarheden in applicaties. In het rapport wordt aangegeven onder welke ISO27001 (een certificering rondom informatieveiligheid) gedeelte het valt. Er wordt uitgebreid uitgelegd wat er aan hand is en er wordt een "proof of concept" opgenomen. Vervolgens wordt er een risico analyse gedaan en door het doen van deze analyse zorgen we ervoor dat we eventuele risico's kunnen vermijden. Op basis van deze informatie wordt er een oplossing aangereikt en er wordt een oplos advies tijd meegegeven.
Security by design en continue tests via ethical hackers
Naast deze kwetsbaarhedenscans en pentesten hebben wij security in het hart van ons ontwikkelproces gezet. Security by design noemen we dat. Bij elke (door)ontwikkeling wordt er aandacht besteedt aan veiligheid. Onze security officer heeft bovendien ook een belangrijke rol in onze testprocedures.
Tenslotte hebben we een zogenaamde coordinated vulnerability disclosure waarmee we mensen uitnodigen om kwetsbaarheden te melden. Deze mogelijkheid wordt met name gebruikt door ethical hackers die onze software op eigen initiatief testen en hier een beloning voor krijgen. Dit is een veelgebruikte, en inmiddels sinds 2023 door de overheid verplichte aanpak.
Wat doen wij met de resultaten?
Nadat wij de resultaten en meldingen hebben ontvangen, worden deze behandeld door onze security officer. Daarbij roept hij waar nodig de hulp van een externe partij in. Als alles helder is worden de kwetsbaarheden op basis van prioriteit (indien mogelijk) opgelost. We streven er altijd naar om alles op te lossen, ook al is de gradatie informatief.
Vervolgens reserveren wij tijd in onze tweewekelijkse ontwikkel sprints om maatregelen te treffen tegen gesignaleerde kwetsbaarheden. Ons beleid is er op gericht om opvolging te geven aan alle gevonden kwetsbaarheden, dus van prioriteit kritisch tot en met laag inclusief verwerking van informatieve tips. Op verzoek kunnen we de rapportage uit de pentest laten zien en toelichten.