Frans-Hut
commented
1 month ago Beter zou zijn dat je eist dat risico's afdoende zijn gemitigeerd. Bevindingen uit een pentest hebben alleen een hoog risico in combinatie met een context. Bv als je via het web meldingen ontvangt over de openbare ruimte, dan draagt dat een heel ander risico dan wanneer je met DigiD aanlogt en vertrouwelijke informatie deelt.
Internetfacing systemen hebben een verplichte ..... penetratietest bij iedere nieuwe release of major update. Als daar bevindingen met een hoog risico uitkomen, mag het systeem niet in productie.
Ik verwacht hier veel problemen mee, met name bij oudere systemen. Zo lang we dit niet geautomatiseerd hebben (en dat is nog niet het geval) kan ik me voorstellen dat hierdoor een rem ontstaat op updates. Een scherpe definitie van wat "major" is zou helpen in de discussie. Ook een zinsnede over in hoeverre dit "risico gestuurd" ingericht mag worden (niet?) voorkomt gemarchandeer.