De ‘magie’ van onderzoek

Al langer valt mij op dat organisaties na een onderzoek of audit denken een veilig product, dienst of omgeving te hebben. Toch blijkt dat vertrouwen na een incident of het dieper graven tijdens de aankoop vaak misplaatst. Wij neigen ertoe ons alleen op het probleem te richten waardoor we keer op keer goedgelovig onderzoeken aanschaffen. Alleen betekent écht leren van fouten kritisch kijken naar de onderzoeken zelf.

Een simpel lek maakt een organisatie kwetsbaar. De media berichten erover en er ontstaat een storm van kritiek. Begrijpelijk, zeker wanneer het een ‘standaard’ zwakheid in een webapplicatie betreft. Wie de OWASP top 10 (Open Web Application Security Project) had doorlopen, had deze fout ontdekt en geëlimineerd. Wanneer ik echter met de zaak in aanraking kom, blijkt dat er niet veel eerder nog een penetratietest is uitgevoerd, waarbij dit laaghangende securityfruit niet is ontdekt. Hoe kan dit? Dit is nu al de tweede zaak op rij waarbij dit gebeurt.

Kort daarvoor ben ik betrokken bij het aankooptraject van een dienst. Ook hier heeft de koper een penetratie op de eigen omgeving laten uitvoeren. Als ik deze goed lees, vallen mij een paar vreemde zaken op. De klant focust zich op de standaarden, waar ze kennelijk niet aan voldoen. Daarnaast blijkt nergens uit het rapport wat er is getest. “Ja,” legt de verkoper me uit, “dat is de magie van de pentesters.” Magie of niet, ik heb geen idee wat er getest is, maar hoor alleen wat er niet in orde is.

De ‘magie’ van deze testers verbergt namelijk wat er wél in orde is. En juist dat gegeven is bij de inkoop belangrijk. De vage rapportage leidt tot tientallen vragen om toch maar helderheid te krijgen, waarop de leverancier dan maar besluit de test opnieuw uit te voeren. Toegegeven, de nieuwe rapportage is minder beroerd, maar met de beste wil van de wereld kan ik er nog steeds niet de sticker ‘bruikbaar’ op plakken. “Maar er zijn weinig bevindingen”, stamelt een salesmanager nog. Deze vorm van magie heeft een vervelend bijeffect: het verbergt de realiteit voor het publiek. Als het gaat om compliance wil je juist duidelijkheid.

De inkopers van de geconstrueerde hack ontbreekt het niet aan goede wil. De organisatie neemt de verantwoordelijkheid door voor veel geld een penetratietest te kopen en laat zich informeren over de problemen. En precies daar zit de blinde vlek. Alleen de gevonden problemen komen ter sprake, niet de problemen die echt spelen. Zo loop je het risico dat je eenvoudig grote zwakheden over het hoofd ziet.

Beide casussen leerden mij dat je bij inkoop heel duidelijk moet weten wat je wilt hebben. Dat heb ik in de praktijk gebracht toen ik testen ging inkopen voor de systemen rond CoronaMelder. Ik hanteerde inkoopeisen als reproduceerbaarheid van testen, het aftesten conform helder benoemde en relevante standaarden, duidelijke eisen aan de verslaglegging. Hiermee help je niet alleen het project dat je onderhanden hebt, maar groei je op basis van eerdere incidenten. En dat is wat we allemaal willen. Toch?