Penetratietestdiensten
In lijn met ISO/IEC 27001:2022 en NIS2-richtlijn

Introductie

Home Affairs FPS nodigt gekwalificeerde cybersecurityleveranciers uit om voorstellen in te dienen voor het leveren van penetratietestdiensten als onderdeel van ons informatiebeveiligingsprogramma. De testen moeten voldoen aan de principes en controles van ISO/IEC 27001:2022 en voldoen aan de technische risicobeheervereisten van de NIS2-richtlijn voor kritieke en belangrijke entiteiten.

1.1 Doelstellingen

• Identificeren van kwetsbaarheden en verkeerde configuraties op netwerk-, systeem- en applicatieniveau.
• Simuleren van realistische aanvalsscenario's, zowel intern als extern.
• Zorgen voor naleving van regelgeving volgens ISO27001 en NIS2 Artikel 21.
• Genereren van uitvoerbare, op risico gebaseerde aanbevelingen voor herstelmaatregelen.
• Continuïteit van dienstverlening waarborgen tijdens het uitvoeren van testen op een niet-verstorende manier.
• Mogelijk maken van continu technisch kwetsbaarheidsbeheer en verbetering.

1.2 Scope van het Werk

De opdracht bestaat uit twee delen:

Externe Infrastructuur Penetratietesten:

• Publiek toegankelijke systemen (IP-ranges, DNS, VPN, firewalls, portals)
• Black-box of grey-box testen om echte aanvallers te simuleren

Interne Penetratietesten:

• Simuleren van de acties van een kwaadwillende met fysieke of logische toegang
• Focus op diepgaande, indringende testen om zwakke plekken te identificeren en uit te buiten
• Geen verstoring van productieservices

Semi-geautomatiseerde Recurring Penetratietesten

• Maandelijkse of driemaandelijkse scans en lichte testen met behulp van semi-geautomatiseerde tools
• Geprioriteerde rapportage van high-risk issues
• Dashboard- en rapporttoegang voor doorlopend kwetsbaarheidsbeheer

1.3 Technische Evaluatie Perimeter

• De productieomgeving van de technische infrastructuur, onderworpen aan voorafgaande risicoanalyse betreffende vertrouwelijkheid, beschikbaarheid en integriteit van data
• Hardware- en opslagsystemen gebruikt voor kritische data of operaties
• Extra perimeters worden in onderling overleg tussen beide partijen gedefinieerd

Opmerking: Volledige technische documentatie (systeemdiagrammen, IP's, architectuur, enz.) zal worden gedeeld na indiening van het voorstel en ondertekening van de NDA.

1.4 Planning en Fasering

De totale opdracht wordt geraamd op circa 55 mandagen, onder voorbehoud van bevestiging na gedetailleerde afbakening.

Uit te voeren in nauwe samenwerking met onze interne teams, verdeeld over drie fasen in 2025 en het eerste kwartaal van 2026:

• Initiële perimeterafbakening
• Uitvoering van testen en oplevering van bevindingen
• Inplannen van vervolgtesten op basis van eerdere resultaten en beschikbaarheid

1.5 Methodologie van Testuitvoering

Interne Penetratietesten:

Simuleren van aanvallen door een insider of indringer met fysieke of logische toegang tot het interne netwerk.

Doel: Identificeren van kwetsbaarheden op netwerk-, systeem- en applicatieniveau. De aanpak omvat:

• Scannen op kwetsbaarheden in systemen en diensten
• Ontwikkelen en uitvoeren van exploitatie-scenario's
• Niet-verstorende testen
• Risicospecifieke aanbevelingen

Voorbeelden van Netwerktesten:

• VLAN-hopping
• Firewall policy testing
• DNS tunneling
• ARP poisoning / netwerk sniffing (MITM)
• Plaintext wachtwoordherstel
• Downgraden van beveiligde verbindingen (SSL, NTLM, RDP)
• VoIP/ToIP-verkeersonderschepping (indien van toepassing)
• SNMP-gegevensextractie met zwakke community strings

Voorbeelden van Systeemtesten:

• Kwetsbaarheidsscans en gesimuleerde aanvallen
• Kraken van lokale admin-accounts
• Domeingebruiker-enumeratie
• Identificatie van privileged accounts
• Privilege-escalatie
• Toegang tot beheerinterfaces
• Brute-force testen van wachtwoordbeleid
• Bestandsserver data-extractie
• Mailservicetesten (open relays, enumeratie, dictionary-aanvallen)

Workstation Security Testing (zonder netwerktoegang):

• Simuleert diefstal of verlies van laptops/desktops.

Workstation Testing (met gebruikersaccounttoegang):

• Indien een gebruikersaccount beschikbaar is, worden testen uitgevoerd om privilege-escalatie, systeemupdates en laterale beweging te beoordelen.

1.6 Opleveringen

• Scope- en kick-offsessie
• Rules of Engagement en NDA
• Eenmalig Pentest-rapport
• Retest-rapport
• Maandelijkse rapporten voor semi-geautomatiseerde testen
• Eindpresentatie

1.7 Leveranciersvereisten

• Aantoonbare penetratietest-ervaring in gereguleerde omgevingen
• Certificeringen: OSCP, OSCE, CREST, GPEN, ISO/IEC 27001 LA/LI
• Mogelijkheid tot leveren van semi-geautomatiseerde testoplossingen
• Vloeiend in Engels (en Nederlands of Frans op vloeiend niveau)
• Cyber liability insurance
• Minimaal 2 klantreferenties in een vergelijkbare context

1.8 Werkbelasting en Beschikbaarheid

De opdracht wordt geraamd op circa 55 mandagen, verspreid over meerdere fasen. Dit is geen fulltime positie; diensten zullen op aanvraag worden geleverd, afhankelijk van projectbehoeften en planning. Het team moet flexibel beschikbaar zijn om te reageren op geplande testwindows en vervolgactiviteiten.