Overheid wil red teaming uiterlijk in 2025 vast opnemen in planning en begroting

De rijksoverheid wil red teaming, waarbij de digitale veiligheid van systemen, processen en mensen wordt getest, uiterlijk in 2025 vast opnemen in de testplanning en begroting. Ook komt er een normenkader voor securitytesten. Dat laat staatssecretaris Van Huffelen van Digitalisering in een brief aan de Tweede Kamer weten.

Bij red teaming wordt door een red team een realistisch aanvalsscenario toegepast om beveiligingsmaatregelen, op het gebied van mensen, processen en techniek te testen. Zo kunnen zwakheden worden vastgesteld, kan het personeel worden getraind en wordt gemeten in welke mate de organisatie ‘in control’ is op het gebied van informatiebeveiliging. Daarnaast creĆ«ert een red team oefening awareness.

Eind vorig jaar wilde een meerderheid in de Tweede Kamer dat er zou worden onderzocht of een ‘cyberstresstest’ bij de rijksoverheid kan worden uitgevoerd, net zoals nu bij banken het geval is. Dat onderzoek is nu uitgevoerd. “De belangrijkste, en positieve, conclusie is de bevestiging dat red-teamingtesten al binnen onderdelen van de rijksoverheid worden toegepast”, aldus Van Huffelen.

Volgens de staatssecretaris is het voor het uitvoeren van de beveiligingstests belangrijk dat er een vertrouwde omgeving beschikbaar is, zowel fysiek, digitaal als sociaal. “Verder is het van belang dat de uitkomsten en bevindingen zo worden geformuleerd dat ze voor andere organisaties binnen de rijksoverheid dan de geteste organisatie bruikbaar zijn. Informatie over specifieke kwetsbaarheden zal daarmee in principe vertrouwelijk blijven”, laat ze verder in de brief weten.

Om red teaming verder bij de rijksoverheid in te zetten is een plan van aanpak opgesteld. Zo komt er een gezamenlijke jaarlijkse testkalender, die ook wordt uitgevoerd, een veilige omgeving waarbinnen kennis, opgedaan vanuit de testen, gedeeld kan worden en een proces om bevindingen deelbaar te maken. Het is de bedoeling dat de basis hiervoor dit jaar wordt gerealiseerd, om daarna verder door te groeien.

“Uiterlijk in 2025 zal de ambitie volledig zijn ingebed in de rijksbrede manier van werken en zijn red-teamingtests vast opgenomen in de testplanning en begrotingscyclus”, stelt de staatssecretaris. Tegen deze tijd is het ook de bedoeling dat er een normenkader beschikbaar is voor securitytesten, waarbij ook naar ketens wordt gekeken.

Bron: Security.nl

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

12Privacy.nl