Claranet audit en pentest IT-security bij Bergopwaarts

Samenvatting

Gebruikte diensten:
Security AuditPentesten

Uitdaging: Bergopwaarts zocht een onafhankelijke leverancier zonder banden met de huidige partner om kritisch te kijken naar IT-omgeving

Oplossing: Claranet verzorgde een Security Audit en deed een uitgebreide pentest van de IT

Resultaat: Bergopwaarts ontving een uitgebreide rapportage over de huidige omgeving met bevindingen en mitigerende maatregelen voor gevonden kwetsbaarheden.


Bergopwaarts is een woningcorporatie in Zuidoost-Brabant, die aan ruim 5300 huishoudens woningen biedt in de driehoek die gevormd wordt door de plaatsen Deurne, Helmond en Asten. Bergopwaarts heeft ongeveer 40 medewerkers in dienst.

IT-dienstverlener Claranet, die binnen Claranet Cyber Security Nederland specialisten op het gebied van security samenbrengt, werd als onafhankelijke auditor gevraagd de status van de (cyber)security te onderzoeken. Waar Bergopwaarts het platform KnowBe4 al langer inzet om het security-bewustzijn van de medewerkers te trainen, daar ging het bij de audit om het beoordelen van de technische kwaliteit van de cybersecurity. De audit werd in het eerste kwartaal van 2023 uitgevoerd. Zowel medewerkers van Claranet in Eindhoven, als internationale collega’s, bekend onder de naam van Claranets’ dochteronderneming NotSoSecure, waren betrokken bij deze opdracht.

De achtergrond van de audit

“De reden een audit op de IT-security te laten uitvoeren hing niet samen met een incident”, geeft Sebastiaan van de Ven, Adviseur Informatisering & Automatisering bij Bergopwaarts, aan. “Wij denken in onze organisatie dat we goed beveiligd zijn, met alles dat we voor de medewerkers organiseren en zelf technisch installeren, maar we wilden dat beeld graag toetsen.”
Natuurlijk wordt door de accountant elk jaar wel een EDP (Electronic Data Processing)-audit gedaan. Een aantal elementen met een belangrijk financieel karakter wordt dan getoetst, maar nooit het complete beeld. “Dat vonden we wel heel belangrijk”, geeft Van de Ven aan. “We wilden weten of er blinde vlekken waren in de opzet van onze security.”
De corporatie wilde een audit laten uitvoeren door een dienstverlener met een goede staat van dienst op het gebied van IT-security, die bij Bergopwaarts verder als IT-bedrijf geen rol had in de technische beveiliging van de IT-omgeving. “We wilden dus nadrukkelijk een onafhankelijke partij die de audit zou uitvoeren.”

De keuze voor Claranet

Dit betekent niet dat Claranet onbekend was bij de IT-afdeling van Bergopwaarts. “Zij leveren als reseller en Premier Partner al de licenties op het platform van KnowBe4, waarmee we de security-awareness bij de medewerkers trainen, onderhouden en monitoren. Dat betreft dus de medewerkers-zijde van de IT-security. Nu vroegen wij hen de technische-zijde te checken en hun bevindingen met ons te delen.”
Daarbij was het, om de onafhankelijkheid van de audit te waarborgen, niet de bedoeling dat Claranet ook invulling zou geven aan de uitvoering van eventuele mitigerende maatregelen die als gevolg van de audit nodig zouden zijn. “Het is aan ons om te bepalen of wie iets met die adviezen doen en bij wie we een eventuele opdracht dan beleggen”, zegt Van de Ven. “Dit betekent dat ook in de toekomst Claranet als onafhankelijke partij audits voor ons kan blijven verzorgen.”
“Voor Claranet is het uitvoeren van pentesten en het verzorgen van andere onderdelen van een security audit relatief nieuw in Nederland”, vertelt Peter van den Broek, Senior Account Manager bij Claranet. “Wereldwijd voeren we elk jaar ruim 10 duizend pentestdagen uit, en zijn daarmee een van de grotere aanbieders. Vorig jaar zijn we gestart met de businessunit Claranet Cyber Security Nederland. Sindsdien hebben we zeker bij woningcorporaties flink aan de weg getimmerd.” Van den Broek bevestigt dat KnowBe4 al wordt ingezet door Bergopwaarts. “We hadden zodoende dus al een relatie met hen.”

De selectie van testen

Nu heeft Claranet binnen het Cybersecurityportfolio een breed aanbod aan testen, het was dus zaak een keuze te maken. Van de Ven: “We zijn als organisatie cloud-georiënteerd. Er zijn veel diensten die we uit de cloud halen, zoals bijvoorbeeld de Microsoft 365-omgeving.”
Zeker nu de organisatie plaatsonafhankelijk werken nadrukkelijk stimuleert, dus niet alleen in het kantoor, maar ook thuis, bij huurders, bij dienstverleners zoals aannemers en bij stakeholders als de gemeentelijk overheid, is een goede beveiliging van belang. “Elke medewerker beschikt over een laptop en een mobiele telefoon. Die endpoints hebben we heel goed ingericht. Dus de beveiliging zit niet alleen in de cloudapplicaties en het (kantoor)netwerk, maar ook op de endpoints.”
Om de kans op datalekken en andere incidenten te voorkomen, implementeerde de corporatie bijvoorbeeld en ‘stolen device-protocol’. “Ook dat wilden we laten auditen.”

Het verloop van de audit

“Intern was er geen langdurige afstemming nodig voordat met de audit gestart kon worden”, blikt Van de Ven terug. “Als woningcorporatie zijn we gewend om regelmatig getoetst te worden door een veelvoud aan instanties. Onze directie is een groot voorstander van een audit als deze.”
Voordat de audit daadwerkelijk startte met de verschillende testen was er afstemming met de consultant bij Claranet. Van den Broek van Claranet vult aan: “Als onderdeel van het traject hebben we een collega uit India laten komen. Die heeft als ethical hacker de omgeving van Bergopwaarts benaderd.” Ook kreeg deze specialist een van de laptops mee om het Stolen Device Scenario te toetsen. “Dat moest natuurlijk wel goed afgestemd worden.”

De doorlooptijd was ruim een maand. Bergopwaarts liet daarbij de verschillende testen na elkaar plaatsvinden. Van den Broek: “We hebben vier elementen getoetst in die maand: allereerst de firewall en daarnaast het Stolen Device Scenario. Ook voerden we een penetratietest uit op de kantoorautomatisering-omgeving en werd de beveiliging van Microsoft 365 getest.”
De medewerkers waren niet vooraf geïnformeerd, hun werk ging gewoon door tijdens de audit. “De business bij onze klant gaat tijdens de audit door”, stelt Van den Broek. “Wij proberen zo goed mogelijk een situatie te creëren waarbij we onzichtbaar zijn. Tegelijkertijd zijn we dingen aan het doen die gevaarlijk kunnen zijn voor de omgeving, dus we houden wel continu in de gaten of we de omgeving niet onderuit trekken.” Dat doen de specialisten van Claranet onder meer door de performance van de IT-omgeving continu te monitoren.

De bevindingen

“Bergopwaarts heeft het goed voor elkaar”, concludeert Van den Broek. De corporatie kreeg een uitgebreid rapport. Daarin staan de bevindingen en worden mitigerende maatregelen voorgesteld. “Die kunnen ze uitvoeren en vervolgens nog eens laten testen om te kijken of de verbeteringen werken.”
Van den Broek legt uit dat bij een dergelijke audit nadrukkelijk ook wordt gekeken naar combinaties van kwetsbaarheden. “Het kan goed zijn dat een vulnerabilty (kwetsbaarheid) relatief ongevaarlijk is, maar onze hacker kan wel heel goed inschatten of die in combinatie met een andere niet heel gevaarlijke vulnerability toch een groter gevaar kan opleveren.”
De aanbevelingen die Claranet gaf, hadden betrekking op issues met een laag risico. “Bergopwaarts gaat verder op de ingeslagen weg op het gebied van security”, maakt Van de Ven duidelijk. Zijn collega’s en hij zijn zich ervan bewust dat een audit geen langdurige garantie beidt. “Het is een momentopname, maar wel een belangrijke check. We zullen de audit daarom volgend jaar zeker herhalen. De samenwerking met Claranet beviel heel goed. Hun interne securityconsultant, waarmee we contact hadden, heeft alles goed geregeld.”