Penetratietestdiensten
In lijn met ISO/IEC 27001:2022 en NIS2-richtlijn

Inleiding

Home Affairs FPS nodigt gekwalificeerde cybersecurity providers uit om voorstellen in te dienen voor de levering van penetratietestdiensten als onderdeel van ons informatiebeveiligingsprogramma. De testen moeten voldoen aan de principes en controles van ISO/IEC 27001:2022 en beantwoorden aan de technische risicobeheerseisen van de NIS2-richtlijn voor kritieke en belangrijke entiteiten.

1.1 Doelstellingen

• Identificeren van kwetsbaarheden en foutieve configuraties op netwerk-, systeem- en applicatieniveau.
• Simuleren van realistische aanvalsscenario’s, zowel intern als extern.
• Waarborgen van wettelijke conformiteit met ISO27001 en NIS2 Artikel 21.
• Genereren van bruikbare, risicogebaseerde aanbevelingen voor remediatie.
• Behoud van servicecontinuïteit door testen op een niet-disruptieve manier uit te voeren.
• Mogelijk maken van continue technische kwetsbaarheidsmanagement en verbetering.

1.2 Scope van het Werk

De opdracht bestaat uit twee delen:

Externe Infrastructuur Penetratietest:

• Publiek toegankelijke systemen (IP-reeksen, DNS, VPN, firewalls, portals)
• Black-box of grey-box testing om echte aanvallers te simuleren

Interne Penetratietest:

• Simuleren van acties van een kwaadwillende met fysieke of logische toegang
• Focus op diepgaande, indringende testen om zwaktes te identificeren en uit te buiten
• Geen verstoring van productieomgevingen

Semi-geautomatiseerde Recurring Penetratietest

• Maandelijkse of kwartaalmatige scanning en lichte testing met semi-geautomatiseerde tools
• Geprioriteerde rapportering van hoog-risico issues
• Dashboard- en rapporttoegang voor continu kwetsbaarheidsbeheer

1.3 Technisch Evaluatieperimeter

• De productieomgeving van de technische infrastructuur, onderworpen aan een voorafgaande risicoanalyse betreffende gegevensvertrouwelijkheid, beschikbaarheid en integriteit
• Hardware- en opslagsystemen gebruikt voor kritieke data of operaties
• Additionele perimeters worden in onderling overleg bepaald

Let op: Volledige technische documentatie (systeemdiagrammen, IP’s, architectuur, enz.) wordt gedeeld na indiening van het voorstel en ondertekening van een NDA.

1.4 Planning en Fases

De totale opdracht zal naar verwachting circa 55 mandagen vergen, te bevestigen na gedetailleerde afbakening.

Uit te voeren in nauwe samenwerking met onze interne teams in drie fases in 2025 en het eerste kwartaal van 2026:

• Initiële perimeterafbakening
• Uitvoering van testen en oplevering van bevindingen
• Inplannen van vervolgtesten op basis van eerdere resultaten en beschikbaarheid

1.5 Methodologie van Testuitvoering

Interne Penetratietesten:

Simuleert aanvallen van een insider of indringer met fysieke of logische toegang tot het interne netwerk.

Doel: Kwetsbaarheden identificeren op netwerk-, systeem- en applicatieniveau. De aanpak omvat:

• Scannen op fouten in systemen en diensten
• Ontwikkeling en uitvoering van exploitatie-scenario’s
• Niet-disruptief testen
• Risicospecifieke aanbevelingen

Voorbeelden Netwerktesten

• VLAN-hopping
• Firewall policy testing
• DNS tunneling
• ARP poisoning / network sniffing (MITM)
• Plaintext wachtwoordherstel
• Downgraden van beveiligde verbindingen (SSL, NTLM, RDP)
• VoIP/ToIP-verkeersonderschepping (indien van toepassing)
• SNMP data-extractie met zwakke community strings

Voorbeelden Systeemtesten

• Kwetsbaarheidsscans en gesimuleerde aanvallen
• Kraken van lokale admin-accounts
• Domein gebruikers-enumeratie
• Identificatie van bevoorrechte accounts
• Privilege escalation
• Toegang tot managementinterfaces
• Brute-force testen van wachtwoordbeleid
• Data-extractie van file servers
• Mail service tests (open relays, enumeratie, woordenboekaanvallen)

Workstation Security Testing (Zonder Netwerktoegang)

Simuleert diefstal of verlies van laptops/desktops.

Workstation Testing (Met Gebruikersaccounttoegang)

Indien een gebruikersaccount beschikbaar is, worden testen uitgevoerd om privilege escalation, systeem patching en laterale beweging te beoordelen.

1.6 Opleveringen

• Scoping en kick-off sessie
• Rules of Engagement en NDA
• Eenmalig Pentest Rapport
• Retesting Rapport
• Maandelijkse Rapporten voor semi-geautomatiseerde testen
• Eindpresentatie

1.7 Leverancierseisen

• Bewezen penetratietest-ervaring in gereguleerde omgevingen
• Certificeringen: OSCP, OSCE, CREST, GPEN, ISO/IEC 27001 LA/LI
• Vermogen om semi-geautomatiseerde testoplossingen te leveren
• Vloeiend in Engels (en Nederlands of Frans op vloeiend niveau)
• Cyberrisicoverzekering
• Minimaal 2 klantreferenties in een vergelijkbare context

1.8 Werkbelasting en Beschikbaarheid

De opdracht wordt geschat op ongeveer 55 mandagen gespreid over meerdere fases. Dit is geen fulltime positie; diensten worden op afroep gevraagd, op basis van projectbehoeften en planning. Het team moet flexibel beschikbaar zijn voor geplande testvensters en opvolgactiviteiten.