Dankzij de pentest van Acknowledge worden de websites van OneMed steeds veiliger en blijven de persoonsgegevens van klanten beschermd.
"Het voorstel dat Acknowledge deed was gelijk raak. Kostentechnisch én qua flexibiliteit."
Mattijs JonkersOneMed zet zich in om klanten door het hele land te voorzien van de juiste medische hulpmiddelen. Ze leveren de producten direct aan ziekenhuizen, huisartsen, zorgcentra, apotheken en bij mensen thuis. De producten worden besteld in een van de websites die OneMed beheert. Via deze portalen worden (medische) persoonsgegevens verwerkt, zoals de hulpmiddelen die een klant krijgt. Het is daarom heel belangrijk dat de websites goed worden getest op de veiligheid, zodat de informatie achter de portalen beschermd is. “AVG-technisch moeten we met veel dingen rekening houden. Omdat we willen garanderen dat onze portalen veilig zijn, hebben we Acknowledge gevraagd om een pentest uit te voeren”, vertelt Mattijs Jonkers, ICT-coördinator bij OneMed.
Onafhankelijk testen
Voor OneMed is dataveiligheid heel belangrijk. Niet alleen om aan de wet- en regelgeving te voldoen (zoals de Algemene Verordening Gegevensbescherming), maar vooral om klantgegevens te beschermen. Zij schakelden Acknowledge in om de veiligheid van de portalen te testen. “Wij hosten, bouwen en onderhouden onze eigen portalen. We willen niet ons eigen werk testen, dat kun je natuurlijk beter onafhankelijk laten doen”, legt Mattijs uit. Acknowledge en OneMed hebben afgesproken ieder jaar een pentest uit te voeren. Zo komt het veiligheidsniveau van de platformen steeds hoger te liggen en worden nieuwe functionaliteiten meteen ook getest. Daarnaast kunnen tussendoor altijd extra scans plaatsvinden, bijvoorbeeld wanneer er een nieuwe website bij komt. “Wij waren op zoek naar een partij die past bij de manier waarop wij werken. Het voorstel van Acknowledge sprak ons meteen aan. Niet alleen kostentechnisch, maar ook de flexibiliteit die het biedt”, vertelt Mattijs.
In de huid van de aanvaller
Joep Seuren voert als securityconsultant van Acknowledge de pentest uit voor OneMed. “Bij een pentest kruipen we in de huid van een aanvaller en gebruiken dezelfde methodes en tools die zij gebruiken. We testen ieder knopje, formuliertje en hoekje van de website om te kijken of het te hacken valt”, legt Joep uit. Hij gebruikt hiervoor de inloggegevens die door OneMed worden aangeleverd. Alle bevindingen worden vastgelegd in een pentest-rapportage. De ontwikkelaars van de websites kunnen hier vervolgens mee aan de slag om de weerbaarheid van de portalen tegen kwaadwillenden te vergroten. Joep: “Het was een uitdaging om het overzicht te behouden over de meerdere websites van OneMed. Daarnaast is het efficiënt en snel schrijven van een rapportage een tijdrovende klus die heel nauwkeurig moet worden uitgevoerd. Voor beide uitdagingen hebben we tooling ontwikkeld die ons daarin ondersteunt.”
Direct inzicht in de prioriteiten
Klantgegevens blijven veilig
Voldoen aan wet- en regelgeving
Duidelijke prioriteit
De pentest-rapportage maakt voor OneMed inzichtelijk waar de meeste winst te behalen valt op de veiligheid van de portalen. “We kunnen richting de organisatie duidelijker benoemen waar de prioriteit ligt voor de ontwikkelaars. Uiteindelijk bepaalt de Information Security Officer (ISO) op welke risico’s wordt ingespeeld en waarvan de impact het grootst is. Zo zetten we processen en projecten nog beter weg”, vertelt Mattijs. De resultaten van de pentest maken het bovendien een stuk gemakkelijker voor OneMed om bepaalde certificeringen op het gebied van ICT-security te behalen. Mattijs: “Voor ISO- en NEN-certificeringen heb je ook een plan-do-check-act-cyclus nodig. De punten uit de pentest-rapportages vormen de basis hiervoor.” Maar de belangrijkste reden van de pentesting is natuurlijk de veiligheid van de portalen.
Snel schakelen
Mattijs is tevreden over de samenwerking met Acknowledge. “Je kunt met iedereen fijn en snel schakelen, van de accountmanager tot onze contactpersoon op het KlantAdviesPunt. En ondanks dat Acknowledge best wat medewerkers heeft, merk je dat je persoonlijke aandacht krijgt. En Joep is echt betrokken bij het project. Voor mij is het fijn dat hij weinig sturing nodig heeft en meteen aan de slag gaat”, zegt Mattijs. Ook Joep vindt het een fijne samenwerking: “We werken vanaf het begin al op een laagdrempelige manier met elkaar samen. Bij kritische bevindingen worden de kwetsbaarheden nog tijdens de pentest opgelost. Dit kan alleen maar met goede communicatie.” OneMed heeft de afgelopen tijd ook van een aantal andere diensten van Acknowledge gebruikgemaakt, zoals onze detacheringsdienst en levering van hardware. Mattijs: “Wij staan altijd open voor nieuwe projecten. Ik geef de samenwerking met Acknowledge dan ook een acht!”