Provincie Zeeland

Provincie Zeeland ontwikkelt beleid en richtlijnen voor het aanbesteden, in beheer nemen en gebruik van cloud-oplossingen, zoals webapplicaties die als Software as a Service (SaaS) worden aangeboden. Deze richtlijnen spitsen zich toe op beveiliging, privacy en het niveau van dienstverlening. Directe aanleiding hiervoor was de overgang van een bestaande client-serverapplicatie naar een SaaS-oplossing, maar de provincie overweegt in de toekomst steeds vaker gebruik te maken van cloudoplossingen.

Review vragenlijst cloudleveranciers

Provincie Zeeland heeft Insite Security gevraagd het beleid te reviewen, en dan specifiek de voor cloudleveranciers opgestelde vragenlijst. Deze vragenlijst is gebaseerd op de ICT-Beveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum. De conclusie van onze review was dat de vragenlijst de Provincie Zeeland in opzet voldoende zekerheid geeft over de beveiliging, de privacy en het niveau van dienstverlening van cloudoplossingen.

In de praktijk getest

Vervolgens heeft Insite Security een aantal richtlijnen uit de vragenlijst in de praktijk getest. Wij hebben een penetratietest uitgevoerd op de SaaS-oplossing. Doelstelling van de penetratietest was het vaststellen van de effectiviteit van de beveiliging van de SaaS-oplossing. We onderzochten of het mogelijk was op enige wijze ongeautoriseerd toegang te krijgen tot de website, de aangesloten systemen en gegevens.

Daarnaast hebben we voor elke richtlijn getoetst of deze is geïmplementeerd of, in audit-termen, bestaat. Een voorbeeld is het valideren van de geldigheid van de invoer van bijvoorbeeld zoekvelden. Hiermee kan bijvoorbeeld een kwetsbaarheid als ‘injection’ worden voorkomen. Bij ‘injection’ heeft een kwaadwillende de mogelijkheid via een zoekterm of een ander invoerveld extra code toe te voegen (injecteren), waardoor verzoeken aan de database gemanipuleerd kunnen worden. Hierdoor kan bijvoorbeeld de inhoud van de database worden aangepast.

Een van de belangrijkste bevindingen was dat een gebruiker privacygevoelige informatie van andere gebruikers kon downloaden. Een van de richtlijnen was niet geïmplementeerd. Hierdoor kon een kwaadwillende de toegangsbeveiliging omzeilen. De leverancier heeft deze kwetsbaarheid hersteld, waardoor de Provincie Zeeland nu veilig kan werken met de SaaS-oplossing.

Insite Security heeft bevestigd dat we op de goede weg waren. De ICT-Beveiligingsrichtlijnen voor webapplicaties van het NCSC zijn een goed startpunt om zekerheid te krijgen over de beveiliging van cloudoplossingen. Het is niet alleen van belang om vragen over deze richtlijnen te stellen, maar ook om ze in de praktijk te laten toetsen. Erwin Wondergem, beleidsadviseur informatiebeheer en automatisering Provincie Zeeland

Heeft u een vraag of wilt u meer informatie?

Contact opnemen