Organisatie actief bij de overheid

Achtergrond

Overheidsinstellingen gebruiken maatwerkapplicaties die ontwikkeld worden door verschillende IT leveranciers. De overheid heeft hier een scherp beleid op en eist van deze organisaties dat de applicaties voldoende veilig zijn en vraagt om resultaten of rapporten van security testen. De overheid heeft het beleid verder aangescherpt met de meldplicht datalekken. Alle organisaties die persoonsgegevens verwerken zijn met ingang van 1 januari 2016 verplicht om beveiligingsincidenten te melden.

De case

Deze organisatie ontwikkelt maatwerk applicaties voor diverse overheidsinstellingen. De organisatie werd door overheidsinstellingen gevraagd naar de veiligheid van deze applicatie. Daarop volgend heeft een security test met uitgebreide code review plaatsgevonden. De desbetreffende applicatie is een .NET webapplicatie.

Resultaat

Er werden onder andere Cross-site scripting(XSS) en XML external entity(XXE) kwetsbaarheden gevonden en er waren problemen met SSL certificaten. Tevens was het mogelijk om bestanden van andere gebruikers in te zien.

In het opgeleverde rapport werd geadviseerd om de gevonden issues met spoed te laten oplossen en er is geadviseerd om een cursus secure programming te laten volgen.

Het IT bedrijf heeft dit advies overgenomen en heeft de issues opgelost. De cursus secure programming heeft de medewerkers meer inzicht gegeven in security bij het ontwikkelen van maatwerkapplicaties.