Penetratietestdiensten
In lijn met ISO/IEC 27001:2022 en NIS2-richtlijn

Inleiding

FOD Binnenlandse Zaken nodigt gekwalificeerde cybersecurity-aanbieders uit om voorstellen in te dienen voor het leveren van penetratietestdiensten als onderdeel van ons informatiebeveiligingsborgingsprogramma. De testen moeten voldoen aan de principes en controles van ISO/IEC 27001:2022 en beantwoorden aan de technische risicobeheervereisten van de NIS2-richtlijn voor kritieke en belangrijke entiteiten.

1.1 Doelstellingen

• Identificeren van kwetsbaarheden en verkeerde configuraties op netwerk-, systeem- en applicatieniveau.
• Simuleren van realistische aanvalsscenario's, zowel intern als extern.
• Zorgen voor naleving van regelgeving volgens ISO27001 en NIS2 Artikel 21.
• Opleveren van uitvoerbare, risicogebaseerde aanbevelingen voor remediatie.
• Continuïteit van dienstverlening waarborgen door testen op een niet-verstorende manier uit te voeren.
• Mogelijk maken van continu technisch kwetsbaarhedenbeheer en verbetering.

1.2 Scope van het Werk

De opdracht bestaat uit twee delen:

Externe Infrastructuur Penetratietest:

• Systemen met publieke toegang (IP-reeksen, DNS, VPN, firewalls, portalen)
• Black-box of grey-box testen om echte aanvallers te simuleren

Interne Penetratietest:

• Simuleren van acties van een kwaadwillende met fysieke of logische toegang
• Focus op diepgaande, indringende tests om zwaktes te identificeren en uit te buiten
• Geen verstoring van productiediensten

Semi-geautomatiseerde Periodieke Penetratietest:

• Maandelijkse of kwartaalgewijze scanning en lichte testing met semi-geautomatiseerde tools
• Geprioriteerd rapporteren van high-risk issues
• Dashboard- en rapporttoegang voor doorlopend kwetsbaarhedenbeheer

1.3 Technische Evaluatieomvang

• De productieomgeving van de technische infrastructuur, onderworpen aan voorafgaande risicoanalyse met betrekking tot vertrouwelijkheid, beschikbaarheid en integriteit van data
• Hardware- en opslagsystemen gebruikt voor kritische data of operaties
• Bijkomende omgevingen worden in onderling overleg vastgesteld

Opmerking: Volledige technische documentatie (systeemdiagrammen, IP's, architectuur, enz.) wordt gedeeld na indiening van het voorstel en ondertekening van een NDA.

1.4 Planning en Fasering

De totale opdracht wordt geschat op ongeveer 55 mandagen, onder voorbehoud van bevestiging na gedetailleerde scopebepaling.

Uit te voeren in nauwe samenwerking met onze interne teams in drie fasen in 2025 en het eerste kwartaal van 2026:

• Initiële scopebepaling
• Uitvoering van testen en oplevering van bevindingen
• Inplannen van opvolgtesten op basis van eerdere resultaten en beschikbaarheid

1.5 Methodologie van Testuitvoering

Interne Penetratietesten:

Simuleer aanvallen van een insider of indringer met fysieke of logische toegang tot het interne netwerk.

Doel: Kwetsbaarheden identificeren op netwerk-, systeem- en applicatieniveau. De aanpak omvat:

• Scannen op zwaktes in systemen en diensten
• Ontwikkeling en uitvoering van exploitatie-scenario's
• Niet-verstorende tests
• Risicospecifieke aanbevelingen

Voorbeelden van Netwerktesten:

• VLAN-hopping
• Firewallbeleid testen
• DNS-tunneling
• ARP-poisoning / netwerk sniffing (MITM)
• Ophalen van wachtwoorden in platte tekst
• Downgraden van beveiligde verbindingen (SSL, NTLM, RDP)
• VoIP/ToIP-verkeer onderscheppen (indien van toepassing)
• SNMP-data extractie met zwakke community strings

Voorbeelden van Systeemtesten:

• Kwetsbaarheidsscanning en gesimuleerde aanvallen
• Kraken van lokale admin-accounts
• Domain user enumeration
• Identificatie van bevoorrechte accounts
• Privilege escalation
• Toegang tot beheerinterfaces
• Brute-force testen van wachtwoordbeleid
• Data-extractie van fileservers
• Mailservicetesten (open relays, enumeratie, dictionary attacks)

Workstation Security Testing (Zonder Netwerktoegang):

• Simuleert diefstal of verlies van laptops/desktops.

Workstation Testing (Met Gebruikersaccounttoegang):

• Indien een gebruikersaccount beschikbaar is, worden tests uitgevoerd om privilege escalation, systeem patchniveau en laterale beweeglijkheid te beoordelen.

1.6 Opleveringen

• Scope- en kick-offsessie
• Rules of Engagement en NDA
• Eenmalig Pentest Rapport
• Retest Rapport
• Maandelijkse rapporten voor semi-geautomatiseerde testen
• Eindpresentatie

1.7 Leveranciersvereisten

• Aantoonbare ervaring met penetratietesten in gereguleerde omgevingen
• Certificeringen: OSCP, OSCE, CREST, GPEN, ISO/IEC 27001 LA/LI
• Vermogen om semi-geautomatiseerde testoplossingen te leveren
• Vloeiend in Engels (en Nederlands of Frans op vloeiend niveau)
• Cyberaansprakelijkheidsverzekering
• Minimaal 2 klantreferenties in een vergelijkbare context

1.8 Werkbelasting en Beschikbaarheid

De opdracht wordt geschat op ongeveer 55 mandagen verspreid over meerdere fasen. Dit is geen voltijdse positie; diensten worden op aanvraag geleverd, afhankelijk van projectnoden en planning. Het team moet flexibel beschikbaar zijn om te reageren op geplande testvensters en opvolgactiviteiten.