Technische weerbaarheid

Pentesten voor elke mbo-instelling

Omdat we het waardevol vinden dat mbo-instellingen pentesten laten uitvoeren, bekostigen we vanuit het programma twee pentesten voor elke instelling. De aanbesteding hiervoor is afgerond en de pentesten zijn sinds september 2024 beschikbaar.

Bij een pentest geeft een instelling een (meestal externe) partij de opdracht om haar beveiliging te testen. Het resultaat is dat de instelling een goed beeld krijgt van de effectiviteit van de genomen beveiligingsmaatregelen. We weten dat veel mbo-instellingen al bekend zijn met pentesten. Maar lang niet alle mbo-instellingen voeren periodiek een pentest uit.  

Aanbesteding pentesten 

Samen met SURF zijn we daarom een aanbesteding gestart voor het leveren van pentesten voor mbo-instellingen. We willen hiermee alle instellingen de gelegenheid bieden om ervaring met pentesting op te doen. Voor de scholen die het al periodiek doen, is dit een mooie kans om eventuele overige zwakke punten te laten pentesten.  

De aanbesteding is inmiddels afgerond. We hebben de opdracht gegund aan 6 partijen:

  1. Sogeti Nederland B.V.
  2. KPMG Advisory
  3. Deloitte Risk Advisory B.V.
  4. Secura B.V.
  5. Sopra Steria Nederland B.V (voorheen Ordina Nederland B.V.)
  6. REQON B.V.

Daarbij hebben we afgesproken dat we de uit te voeren pentesten verdelen tussen deze zes leveranciers. Vanuit het programma verzorgen we de coördinatie en planning van de pentesten. 

Scope en spelregels pentesten

Alle mbo-instellingen krijgen vanuit het programma Cyberveiligheid tweemaal een pentest aangeboden ter waarde van 6.000 euro exclusief BTW.* Daarvan kunnen ze in de periode tussen 1 september 2024 en 1 september 2027 gebruikmaken. Tussen de opleverdatum van pentest 1 en de opdrachtdatum van pentest 2 dienen ten minste 6 maanden te zitten.

Bij deze pentesten kunnen mbo-instellingen zelf de scope en afbakening bepalen. De ene instelling kan de test dus inzetten om de complete IT-omgeving te controleren, terwijl een andere de pentest gebruikt voor het toetsen van specifieke applicaties of een specifiek netwerk. De opdracht moet een zelfstandig geheel zijn, zonder verwijzingen naar een eventueel aanvullende opdracht. Instellingen kunnen zelf wel aanvullende opdrachten aan een pentestleverancier verstrekken, om een grotere scope of diepgang van de pentest te hanteren. Dit is op eigen kosten.

Ondersteuning vanuit het programma

Als een instelling hier behoefte aan heeft, biedt Mick Deben, adviseur cybersecurity bij het programma Cyberveilig, ondersteuning bij het aanvraagproces van de pentesten (zie hieronder). Hij kan bijvoorbeeld helpen bij het beschrijven van de kroonjuwelen, het bepalen van de doelstellingen van de pentesten en om bij het vertalen van de doelen naar onderzoeksvragen. Ook kan hij ondersteunen bij het formuleren van een heldere scope en de toe te passen aanvalsmethodieken (tactics, techniques, procedures).  

Na de uitvoering van de pentest stelt de leverancier een rapport van bevindingen op. Hierin staan ook aanbevelingen voor verbetering van de geteste onderdelen. Scholen kunnen hiermee aan de slag om een cybersecuritymaatregelen verder aan te scherpen.  

Processtappen

  1. De mbo-instelling doet een verzoek voor een pentest bij Evie-Janne van Noorel  van MBO Digitaal en geeft aan of zij ondersteuning nodig hebben.
  1. MBO Digitaal beoordeelt de rechtmatigheid van het verzoek.
  1. Evie-Janne van Noorel van MBO Digitaal levert informatie aan de instelling. Mocht de instelling gevraagd hebben om ondersteuning, dan neemt Mick Deben contact op voor een intake met de instelling. Hij kan hulp bieden bij het formuleren van de vraag.
  1. Na deze intake wordt de leverancier gekoppeld aan de instelling, in principe de eerstvolgende uit de groep. Als de mbo-instelling geen ondersteuning van Mick Deben nodig heeft, wordt de leverancier gelijk toegewezen.
  1. MBO Digitaal verzendt de (model)documenten en richtlijnen naar de mbo-instelling en leverancier. Het betreft:
    ·        De Nadere Overeenkomst (ondertekening mbo-instelling – leverancier)
    ·        De Verwerkersovereenkomst (ondertekening mbo-instelling – leverancier)
    ·        De Verklaring van oplevering (ondertekening mbo-instelling – leverancier)
    ·        Richtlijnen Plan van aanpak (ondertekening mbo-instelling – leverancier)
    ·        Richtlijnen Offerte MBO Raad (ondertekening mbo-instelling – leverancier – MBO Raad)
  1. Mbo-instelling neemt contact op met de leverancier voor het maken van afspraken en leverancier maakt offerte en Plan van Aanpak (incl. vrijwaring), in samenwerking met de mbo-instelling en eventueel Mick Deben. Het gaat dan om het beschrijven van de kroonjuwelen, het bepalen van de doelstellingen van de pentest, het vertalen daarvan naar onderzoeksvragen, het helder beschrijven van de scope en de toe te passen aanvalsmethodieken (tactics, techniques, procedures).
  1. De offerte wordt door de leverancier en de mbo-instelling getekend en retour gestuurd naar Evie-Janne van Noorel van MBO Digitaal. Deze offerte bevat alle informatie die benodigd is voor de verantwoording van de subsidie.
  1. De offerte wordt na goedkeuring ingeboekt door de afdeling Financiën van de MBO Raad en de leverancier krijgt op basis hiervan een verplichtingsnummer toegekend. Daarna kan gestart worden met de werkzaamheden.
  2. Als de leverancier de pentest heeft afgerond, stelt hij een rapport van bevindingen op. Hierin staan ook aanbevelingen voor verbetering van de geteste onderdelen, waarmee instellingen hun cybersecuritymaatregelen kunnen aanscherpen.
  3. Na afronding van de pentest wordt de verklaring van oplevering getekend door de leverancier en de mbo-instelling.
  4. De leverancier kan nu de factuur sturen, voorzien van het eerder afgegeven verplichtingsnummer en vergezeld van de getekende verklaring van oplevering.
  5. MBO Digitaal ontvangt van de leverancier een compact verslag van bevindingen op hoofdlijnen, na goedkeuring van de instelling. MBO Digitaal zorgt voor een veilige verwerking van deze gegevens en anonimiseert ze. De bevindingen dienen als input voor een sectorbreed beeld van veelvoorkomende kwetsbaarheden. Naar aanleiding hiervan kunnen mogelijk aanvullende programma-activiteiten worden opgestart.

* Sommige mbo-instellingen zijn via een aanbesteding exclusief gebonden aan een vaste pentestleverancier. Bijvoorbeeld omdat ze hebben meegedaan aan een eerdere pentestaanbesteding. Deze instellingen kunnen daardoor pas na afloop van het contract de pentesten vanuit het programma Cyberveiligheid ontvangen. Zo zijn een aantal mbo-instellingen vanuit een eerdere SURF-aanbesteding (Pentesting 2) gehouden aan hun eigen leverancier tot 25 november 2025. Deze instellingen krijgen daarom twee pentesten na die datum. Twijfel je hierover of zijn er vragen? Neem dan contact met ons op!

Contactpersoon

Neem contact op met Evie-Janne van Noorel voor meer informatie.