Dankzij de uitgebreide rapportage uit de pentest van Acknowledge optimaliseert Bosman haar zorgportalen continu.

Onze ervaring met Acknowledge is goed, het kostenplaatje klopt en we krijgen de diepgang die we zoeken."

Mattijs JonkersSecurity- en IT-officer bij Bosman

Expert in medische hulpmiddelen Bosman (voorheen OneMed) biedt zorgprofessionals advies en ondersteuning via hun websites. Zo voorzien ze zorgorganisaties van de juiste hulpmiddelen voor onder andere diabetes, wondverzorging en incontinentie. Bosman is in het bezit van certificeringen voor de Internationale Organisatie voor Standaardisatie (ISO) en Nederlandse Norm (NEN). Hierdoor voldoet hun dienstverlening aan hoge standaarden voor bijvoorbeeld cybersecurity en maatschappelijke betrokkenheid. Een van de vereisten is het jaarlijks uitvoeren van pentests voor alle online portalen. Acknowledge voert als securitypartner van Bosman al een aantal jaar deze pentest uit. Onlangs is deze samenwerking weer met drie jaar verlengt. “We hebben goede ervaringen met Acknowledge. Met name de diepgang in de rapportages sluit goed aan bij onze wensen en behoeften”, vertelt Mattijs Jonkers, security- en IT-officer bij Bosman.

Penetratietest

Bosman laat elk jaar een pentest uitvoeren door Acknowledge. Tijdens zo’n penetratietest controleert een securityexpert hoe gevoelig de systemen van een organisatie zijn voor digitale aanvallen van buitenaf en of er kwetsbaarheden aanwezig zijn in de onderliggende infrastructuur. Mattijs: “Wij bouwen onze websites zelf, dus we vinden het belangrijk dat een onafhankelijke partij controleert of alles aan de eisen voldoet. Het is voor ons bovendien een toetsing van onze ontwikkelafdeling.” Dit jaar zijn naast de tien klantenportalen ook twee corporate websites getest. Acknowledge bundelt alle gevonden kwetsbaarheden in een uitgebreide rapportage. “Onze developers gaan vervolgens aan de slag om die kwetsbaarheden op te lossen.”, vertelt Mattijs. “Tijdens de ISO- en NEN-audits kunnen we altijd duidelijk aantonen wat gevonden is en wat wij daar vervolgens mee hebben gedaan. Heel waardevol!”

De greyboxtest

Je kunt pentesting op verschillende manieren aanvliegen. Securityconsultant Philip van Roeijen legt uit: “Bij Bosman hebben we gekozen voor de greyboxtest. Hierbij krijg je van tevoren informatie van de klant over de websites die je moet testen. Doordat we van tevoren weten wat we gaan testen weet Bosman ook zeker dat we alles controleren.” Een pentest kan soms best agressief zijn, waardoor de klant vertraging ondervindt of een website zelfs helemaal uitvalt. Er wordt daarom goed afgestemd wanneer de tests worden uitgevoerd. “De websites van Bosman worden gebruikt om medische hulpmiddelen te bestellen, dat moet je voorzichtig aanpakken. Vandaar dat we altijd goed afstemmen waar we mee aan de slag gaan. Uiteindelijk heeft Bosman er niks van gemerkt”, vertelt Philip.

Jaarlijkse pentest én hertest voor optimale veiligheid

Uitgebreide rapportage als basis voor verbeteringen

Snel schakelen en goede onderlinge afstemming

Rapportages en hertesten

Voor Bosman zijn de rapportages die op basis van de pentests worden opgeleverd heel waardevol. Mattijs: “De uitgebreide rapportage met duidelijke omschrijvingen en mogelijke oplossingen geeft ons de handvatten die we nodig hebben om de verbeteringen zo goed mogelijk door te voeren. Wij zetten alle uitkomsten die we moeten opvolgen in ons ticketsysteem, zodat we de lijst zelf bij kunnen houden.” Tegenwoordig voert Philip ook hertests uit om na enkele maanden de gevonden punten opnieuw te testen nadat de verbeteringen door zijn gevoerd. “Het is verstandig om de focus te leggen op de meest belangrijke bevindingen, zodat we kunnen verifiëren of de maatregelen die Bosman heeft uitgevoerd effect hebben gehad”, legt hij uit. “Die hertest is voor Bosman ook een stok achter de deur om met eventueel openstaande kwetsbaarheden aan de slag te gaan.”

Snel schakelen

Philip heeft met veel plezier aan de pentests voor Bosman gewerkt. “Mooi om bij te dragen aan de veiligheid van een organisatie die zich zo inzet voor de zorg van mensen. Het contact met Mattijs was ook goed. Ik kon altijd bij hem of een collega terecht als ik vragen had. Doordat we veel en snel schakelen was Bosman al voor de rapportage op de hoogte van de belangrijkste bevindingen. Dan komt het ook niet zo rauw op hun dak vallen,” vertelt Philip. Mattijs sluit zich hierbij aan: “We spreken goed af wat en wanneer we pentesten. Tijdens de pentest hebben we wekelijks overleg over de voortgang, maar Philip komt ook regelmatig in de lucht wanneer hij iets gevonden heeft. Dat werkt prettig voor ons. En we zijn heel blij met de uitgebreide rapportages. Ik beoordeel de samenwerking dan ook met een 8,5!”