Een overheidsportaal zonder beveiligingsheaders

Een nationale toezichthouder had bewijs van NIS2-compliance nodig. De beoordeling van Discovero bracht 31 kwetsbaarheden aan het licht, waaronder blootgestelde beheerpanelen en ontbrekende beveiligingsmaatregelen.

Boek Uw assessment

De uitdaging

Waarmee wij te maken hadden

Een nationale toezichthouder die verantwoordelijk is voor het toezicht op een kritieke sector van de economie moest NIS2-compliance aantonen. Als overheidsinstantie die gevoelige regulatoire gegevens en inzendingen van burgers verwerkt, was gedocumenteerd bewijs van regelmatige beveiligingstests vereist.

Hun infrastructuur besloeg meerdere legacy-systemen, een publiek toegankelijk burgerportaal en diverse interne applicaties die in de loop der tijd onbedoeld via het internet toegankelijk waren geworden.

Wat Discovero vond

Beoordelingsresultaten

caseStudies.regulatory.metrics.

Belangrijkste bevindingen

Blootgestelde beheerinterface (CVSS 8.2)

Een beheerpaneel voor het burgerinzendingssysteem was toegankelijk vanaf het internet. Hoewel het achter een inlogpagina zat, gebruikte het basisauthenticatie via HTTP (niet HTTPS) en was het kwetsbaar voor brute-force-aanvallen zonder snelheidsbeperking of accountvergrendeling.

Geen beveiligingsheaders op alle webdomeinen

Geen van de 8 webgerichte applicaties van de toezichthouder had Content-Security-Policy, Strict-Transport-Security of andere beveiligingsheaders geïmplementeerd. Dit maakte alle domeinen kwetsbaar voor clickjacking, MIME-sniffing-aanvallen en vergemakkelijkte XSS-exploitatie.

Verouderd CMS met bekende kwetsbaarheden (CVSS 7.5)

Het publieke informatieportaal draaide WordPress 5.x met 12 verouderde plugins, waarvan 3 met bekende remote code execution-kwetsbaarheden. Het WordPress xmlrpc.php-eindpunt was ingeschakeld, waardoor brute-force-amplificatieaanvallen mogelijk waren.

Interne applicaties blootgesteld aan het internet (CVSS 7.0)

Drie interne applicaties die uitsluitend voor medewerkers bedoeld waren, waren toegankelijk vanaf het publieke internet door verkeerd geconfigureerde netwerksegmentatie. Hieronder bevonden zich een documentbeheersysteem en een intern communicatietool met gevoelige regulatoire beraadslagingen.

De impact

Wat had kunnen gebeuren

Scenario	Geschatte impact
Datalek burgergegevens + verplichte melding	Ernstige reputatieschade
Manipulatie van regulatoire processen	Implicaties voor nationale veiligheid
NIS2-sancties bij niet-naleving	Bestuurlijke sancties
Discovero-beoordeling	EUR 5.900

Voor een overheidsinstantie wegen de reputatie- en nationale veiligheidsimplicaties veel zwaarder dan welke financiële schatting dan ook.

Het resultaat

Wat er is gedaan

Beheerpanelen werden onmiddellijk achter VPN-toegang geplaatst.
Beveiligingsheaders werden binnen één week op alle 8 webdomeinen geïmplementeerd.
WordPress werd bijgewerkt en onnodige plugins verwijderd. xmlrpc.php werd uitgeschakeld.
Netwerksegmentatie werd gecorrigeerd, waardoor publieke toegang tot interne applicaties werd opgeheven.
Het Discovero-rapport diende als NIS2 Art. 21-compliancebewijs voor de beveiligingsaudit van de toezichthouder.
Een kwartaalschema voor beoordelingen werd ingesteld voor doorlopende compliance.

Belangrijkste les

Overheidsinstanties kennen unieke risico's: burgergegevens, regulatoire processen en publiek vertrouwen. Regelmatige externe beoordeling is onder NIS2 niet optioneel — het is verplicht. En het externe perspectief brengt aan het licht wat interne teams niet kunnen zien.

Wilt U weten wat er verborgen zit in
Uw aanvalsoppervlak?

Geen agents. Geen inloggegevens. Alleen Uw domein. Eerste resultaten binnen 48 uur.

Boek een gratis consultatie Bekijk prijzen