Maandelijkse vulnerability scanning: Eerste maand kosteloos! Meer informatie →
Hero

WIJ ZIJN

HACKIFY

Wat is een BIO / ENSIA pentest

Icon van een BIO pentest

Informatiebeveiliging bij de Nederlandse overheid is geen vrijblijvende aanbeveling, maar een wettelijke verplichting. De Baseline Informatiebeveiliging Overheid (BIO) is sinds 2013 de standaard voor informatiebeveiliging bij alle overheidslagen, van de rijksoverheid en provincies tot gemeenten en waterschappen. De norm stelt concrete eisen aan de beveiliging van systemen die gegevens van burgers en bedrijven verwerken.

Norm 18.2.3.1 uit de BIO bepaalt dat informatiesystemen jaarlijks technisch worden gecontroleerd op naleving van de beveiligingsnormen. Die controle gebeurt met een kwetsbaarheidsscan en een penetratietest. Voor een overheidsorganisatie is een BIO pentest dus geen keuze, maar een verplichting die hoort bij het Information Security Management System (ISMS).

Een BIO pentest (ook wel ENSIA pentest genoemd) onderzoekt of uw beveiligingsmaatregelen doen wat ze moeten doen. Dat gebeurt langs het VIB-principe: Vertrouwelijkheid, Integriteit en Beschikbaarheid. De test moet worden uitgevoerd volgens de BIO Handreiking Penetratietesten v2.21, door een pentestleverancier die aan de BIO-criteria voldoet.

Waarom en wanneer is een BIO / ENSIA pentest belangrijk?

Voor elke Nederlandse overheidsorganisatie is een BIO pentest een wettelijke verplichting. Norm 18.2.3.1 schrijft voor dat informatiesystemen jaarlijks met een penetratietest worden gecontroleerd op naleving van de beveiligingsnormen. Gemeenten gebruiken de uitkomst bij hun ENSIA-verantwoording aan de gemeenteraad en de VNG.

Een BIO pentest is verstandig in de volgende situaties:

  • Als jaarlijkse verplichting, omdat de norm minimaal eens per jaar een penetratietest binnen het ISMS vraagt.
  • Bij een grote wijziging, zoals een upgrade van de infrastructuur, een aanpassing in de architectuur, een grote release van een applicatie of een cloudmigratie.
  • In de acceptatiefase van een nieuw systeem, om een applicatie te controleren voordat die live gaat.
  • Na een beveiligingsincident, om te bevestigen dat de oplossing werkt en de oorzaak echt is verholpen.
  • Voor de ENSIA-verantwoording, waar gemeenten de resultaten van de BIO pentest als bewijs gebruiken.

Voer een BIO pentest met regelmaat uit. Overheidssystemen verwerken veel gevoelige gegevens, en wie niet voldoet loopt risico bij audits en kan vertrouwen verliezen.

Aan welke criteria moet een BIO pentestleverancier voldoen?

Bijlage 2 van de BIO Handreiking Penetratietesten v2.21 noemt de criteria voor de keuze van een penetratietester. Houdt u deze criteria aan bij de keuze van een leverancier, dan voldoet de pentest aan norm 18.2.3 en kunt u de uitkomst gebruiken voor uw ISMS-audit en uw ENSIA-verantwoording.

Onafhankelijkheid en externe positie

De penetratietester moet onafhankelijk zijn van het testobject en van buitenaf werken. Hij is dus niet in dienst bij de organisatie of de leverancier die hij test, en staat buiten het project. Zo blijft de beoordeling objectief en is er geen belangenverstrengeling.

Hackify voldoet hieraan: We zijn een externe Nederlandse pentestorganisatie zonder belangenverstrengeling met ontwikkelaars of leveranciers. We staan volledig buiten het project en garanderen objectieve, onafhankelijke beoordeling.

Ervaring en erkenning

De penetratietester moet aantoonbaar ervaren zijn en erkend worden in de security community. Dit kan worden aangetoond door uitgebreid curriculum vitae op het gebied van penetratietesten, invloedrijke whitepapers en security research publicaties, keynote spreker op security congressen, en referenties van vergelijkbare opdrachten.

Hackify voldoet hieraan: We hebben een uitgebreide track record met Nederlandse overheidsorganisaties, responsible disclosures bij Philips, Zoom, Oracle en Politie, en zijn hackcompetitie winnaars bij Hack010, PVIB CTF, Hackerhotel en HackTheHague.

Brede ervaring met niet-standaard testen

De penetratietester moet aantoonbare brede ervaring hebben met niet-standaard testen in verschillende omgevingen. Dit omvat ervaring in publieke en private sectoren (financiële, industriële omgevingen), (web)applicaties die op zichzelf staand of in ketenverband functioneren, inzet van traditionele en digitale (ICT-) recherchetechnieken, en penetratietests zowel gericht op mensen (mystery guests of social engineering) als informatie.

Hackify voldoet hieraan: We zijn actief in publieke en private sectoren, testen webapplicaties, infrastructuur, cloud omgevingen, en voeren mystery guest en social engineering tests uit. Onze ervaring omvat zowel traditionele als moderne digitale technieken.

Capaciteit en doorlooptijd

De penetratietester moet genoeg capaciteit hebben om de test op tijd uit te voeren. Hij kan dus binnen de gewenste termijn opschalen, zonder dat de kwaliteit daaronder lijdt.

Hackify voldoet hieraan: We hebben schaling- en doorlooptijdmogelijkheden voor tijdige uitvoering. BIO pentests kunnen binnen 2-3 weken worden gepland en uitgevoerd zonder kwaliteitsverlies.

Verzekering tegen schade

De penetratietester moet verzekerd zijn tegen schade waarvoor hij toch aansprakelijk is. Het gaat om schade die de vrijwaringsverklaring niet afdekt, bijvoorbeeld bij onbedoelde downtime of dataverlies tijdens de test.

Hackify voldoet hieraan: We hebben een volledige beroepsaansprakelijkheidsverzekering tegen schade die niet is afgedekt door de vrijwaringsverklaring, waardoor u beschermd bent tegen financiële risico’s.

Gecertificeerd personeel

De penetratietester moet gebruik maken van gecertificeerd personeel. Aanbevolen certificeringen zijn onder andere OSCP (Offensive Security Certified Professional), CEH (Certified Ethical Hacker) en LPT (Licensed Penetration Tester).

Hackify voldoet hieraan: Alle pentesters hebben OSCP certificeringen en andere erkende certificaten zoals OSWE, eWPT en BSCP. We investeren continu in certificeringen en training om up-to-date te blijven.

State-of-the-art tools en up-to-date technieken

De penetratietester moet gebruik maken van ‘state-of-the-art’ tools en de meest up-to-date hacktechnieken. Dit omvat moderne tools zoals IBM AppScan, HP WebInspect, Acunetix, Nessus en NeXpose, maar ook custom tools en de nieuwste aanvalstechnieken.

Hackify voldoet hieraan: We gebruiken moderne tools zoals Burp Suite, Nmap, Nessus, Nuclei en custom research tools. Onze pentesters blijven up-to-date met de nieuwste attack techniques en tools door actieve training en research.

Eigen research en actuele kennis

De penetratietester moet zich baseren op eigen onderzoek en niet leunen op verouderde informatie uit het publieke security-domein. Hij doet dus zelf security research, ontdekt nieuwe kwetsbaarheden en houdt zijn kennis van aanvalstechnieken actueel.

Hackify voldoet hieraan: We doen actieve security research en hebben responsible disclosures gedaan bij grote organisaties. Onze pentesters ontdekken nieuwe kwetsbaarheden en blijven up-to-date met de laatste attack techniques door eigen research en deelname aan security communities.

Eigenaarschap van uitvoering

De penetratietester moet de test zelf uitvoeren en niet uitbesteden aan een andere organisatie. Zo houdt u zicht op de kwaliteit en de vertrouwelijkheid, en heeft u rechtstreeks contact met de pentester.

Hackify voldoet hieraan: We voeren alle pentests volledig zelf uit en besteden deze niet uit aan andere organisaties. Dit garandeert kwaliteitscontrole, vertrouwelijkheid en directe relatie tussen u en de pentesters die uw test uitvoeren.

Waarom kiezen voor Hackify?

  • Bewezen expertise - Ethische hackers met minimaal 5 jaar ervaring, 3 certificaten en relevante expertise per testonderdeel (niet branche minimum van 1 jaar en 1 certificaat)
    • Track record - Responsible disclosures bij Philips, Zoom, Oracle, Politie en vele anderen
    • Hackcompetitie winnaars - Prijzen bij Hack010, PVIB CTF, Hackerhotel en HackTheHague
  • BIO expertise - Diepgaande kennis van de BIO Handreiking Penetratietesten v2.21 en het VIB-principe
  • Direct contact - Geen accountmanagers, u spreekt rechtstreeks met de pentesters die uw test uitvoeren
  • Flexibiliteit - Een BIO pentest is vaak binnen 2 tot 3 weken in te plannen

Meer over onze aanpak en expertise leest u op onze over ons-pagina.

Klaar voor een BIO-pentest?

Wij voeren de pentest uit binnen het Baseline Informatiebeveiliging Overheid-kader en leveren een rapport dat aansluit op uw verantwoordingscyclus. Vraag een voorstel op maat aan.

Neem contact op

Of mail ons direct via [email protected]

Veelgestelde vragen over BIO/ENSIA penetratietests

Wat is het verschil tussen een BIO pentest en een reguliere pentest?

Een BIO pentest is een pentest die voldoet aan de eisen die de overheid stelt.

BIO pentest:

  • Verplicht voor overheidsorganisaties op grond van BIO-norm 18.2.3
  • Wordt jaarlijks uitgevoerd, als onderdeel van het ISMS
  • Kijkt specifiek naar Vertrouwelijkheid, Integriteit en Beschikbaarheid (VIB)
  • De rapportage volgt de BIO Handreiking Penetratietesten v2.21
  • De pentester moet aan de BIO-criteria voldoen: onafhankelijk, ervaren en OSCP-gecertificeerd
  • De resultaten worden gebruikt voor de compliance-audit en de verantwoording

Reguliere pentest:

  • Een vrijwillige test
  • Vrije planning en scope
  • Geen vast normenkader
  • Een algemene rapportage

Technisch lijken de twee op elkaar. Het verschil zit in de strikte richtlijnen die de overheid stelt aan de pentestleverancier en aan de rapportage.

Wat kost een BIO / ENSIA pentest?

Wat een BIO pentest kost, hangt af van de scope, hoe complex uw informatiesystemen zijn en eventueel maatwerk. Na een intakegesprek stellen wij een voorstel voor u op dat bij uw situatie past.