Gemeente Amsterdam aan de slag met het Tygron Platform onder strenge security eisen

Het Ingenieursbureau Amsterdam (IB Amsterdam) werkt sinds kort met het Tygron Platform. Floris Harten, (Adviseur klimaatadaptatie en water bij IB Amsterdam): ”De gemeente wil het Tygron Platform meer integreren in onze adviesdiensten, zodat we sneller en gerichter advies kunnen geven”. In deze blog leest u meer over de aanleiding (https://www.tygron.com/nl/2023/02/10/ingenieursbureau-amsterdam-aan-de-slag-met-hittestress-simulaties/).

Vanuit het IB Amsterdam kwam het verzoek bij de ICT-inkoop afdeling van de Gemeente Amsterdam om het Tygron Platform voor intern gerbuik ‘aan te schaffen’. Vanuit ICT-inkoop en de information security officers van de gemeente Amsterdam is vervolgens een grondig onderzoek gedaan naar o.a. de veiligheid van het Tygron Platform.

De afdeling die verantwoordelijk is voor de informatieveiligheid van de Gemeente Amsterdam zegt daarover: “De gemeente Amsterdam heeft de verantwoordelijkheid om vertrouwelijke informatie over burgers, ondernemers, bezoekers en ook van bepaalde objecten goed te beveiligen tegen uitval, diefstal of verlies. Amsterdam stelt daarom strenge security eisen aan ICT producten en ICT leveranciers. Leveranciers moeten zelf aantoonbaar hun informatiebeveiliging op orde hebben en de producten die zij leveren dienen periodiek getest te worden op mogelijke beveiligingsrisico’s. Vanzelfsprekend wil Amsterdam inzicht hebben in deze risico’s en samen met haar leveranciers de eventuele risico’s afdichten. “

Voor Tygron is het borgen van de veiligheid van projectdata en andere gegevens van klanten altijd al een zeer hoge prioriteit. We werken hier continue aan op basis van de meest recente ontwikkelingen, onder meer met behulp van state-of-the-art encryptie, firewall, hashes, en het uitvoeren van grote hoeveelheden geautomatiseerde penetratie- en kwetsbaarheidstesten. Zie ook: Platform security – Tygron Preview Support Wiki

Het werd echter al snel duidelijk dat de Gemeente Amsterdam nog een stapje verder gaat. Een van de maatregelen die de Gemeente Amsterdam heeft genomen is het laten uitvoeren van een onafhankelijke Pen&Hack-test. Als Tygron hebben we de wensen en eisen van de Gemeente Amsterdam omarmd en is het bedrijf Onvio, gespecialiseerd in het uitvoeren van penetratietesten, (https://www.onvio.nl/) ingeschakeld. Onvio is met haar ethical hackers aan het werk gegaan om de beveiliging van het Tygron Platform te kraken.

Het Platform is afgelopen maanden onderzocht vanuit het perspectief van een anonieme bezoeker en een gebruiker met een geldige maar in rechten beperkte account. Onvio heeft hiervoor geautomatiseerde tools ingezet en gebruik gemaakt van state-of-the-art beveiligingsaanpakken zoals OWASP en PTES (The Penetration Testing Execution Standard (pentest-standard.org). Naast de geautomatiseerde tests zijn ook diepgaande handmatige inspecties uitgevoerd.

De conclusies van de Pen&Hack-test zijn:

  • Op serverniveau zijn geen bijzonderheden geconstateerd;
  • Er zijn geen tekortkomingen geconstateerd met betrekking tot het beperken van gebruikers in hun rechten;
  • Tijdens het onderzoek is het niet gelukt om van klant A bij data van klant B te komen;
  • De huidige staat van hardening voldoende;
  • De huidige staat van patching is voldoende;
  • Op niveau Laag risico is geconstateerd dat gebruikers van het Tygron Platform eigen applicaties kunnen koppelen via de API. Om hier meer veiligheid in af te dwingen kan het Tygron Platform een aantal verbeteringen doorvoeren. Komende periode zal Tygron in gesprek met gebruikers dit uitwerken.

Het is dus niet gelukt om de beveiliging van het Tygron Platform te kraken. Reactie vanuit de verantwoordelijke afdeling van de Gemeente Amsterdam: “Als information security specialisten zijn wij blij dat Tygron haar verantwoordelijkheid pakt op het gebied van informatiebeveiliging en hopen wij dat alle ICT ontwerpers en leveranciers hetzelfde doen om ‘veilige’ producten en diensten te leveren.”

Als Tygron verwachten we in de toekomst dat meer overheden gaan volgen met hogere eisen op het gebied van informatie en ICT veiligheid. Het laten uitvoeren van een onafhankelijke pentest vinden we een waardevolle aanvulling op ons veiligheidsbeleid en daarom zullen we dit in de toekomst ook vaker toepassen.

Mochten er klanten zijn die interesse hebben in de samenvatting van het Rapport van Onvio, neem gerust contact met ons op.

Related Posts
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.