Ga naar de inhoud

Keurmerk Pentesten biedt houvast bij cyberweerbaarheid

Slot op laptop om computerbeveiliging uit te beelden

Digitale processen vormen al jaren de backbone van onze moderne maatschappij. De technologische mogelijkheden ontwikkelen steeds sneller en verder. Bedrijven die niet mee ontwikkelen, lopen een groter risico op onveilige situaties. Deze cyberdreiging neemt steeds meer immense proporties aan.

Inmiddels heeft 46% van het mkb te maken gehad met een cyberincident, meestal ransomware. Wereldwijd zal de schade als gevolg van cybercriminaliteit naar verwachting oplopen tot zo’n €10 biljoen in 2025. Om alle schade verzekerbaar te houden moet opgeschaald worden in digitale weerbaarheid. Hierbij is behoefte aan aantoonbare kwaliteit van cyberdiensten. Het Centrum voor Criminaliteitspreventie en Veiligheid (het CCV) ontwikkelde samen met een groot aantal partijen een keurmerk voor pentesten. Op 5 oktober ontving dit initiatief tijdens de uitreiking van de belangrijkste IT-prijzen van het jaar een Computable Award in de categorie Cyber Resilience.

De introductie van het keurmerk pentesten biedt verzekeraars een kans, legt Marko van Leeuwen van het Verbond van Verzekeraars uit. “Er is nu een instrument beschikbaar waarmee verzekeraars hun klanten kunnen helpen om hun weerbaarheid aantoonbaar te verhogen en risico’s af te dekken.” En dat is noodzakelijk, want de cijfers over cybercriminaliteit spreken boekdelen. Het is inmiddels een schaalbaar verdienmodel voor criminelen dat exponentieel groeit, omdat de vraag naar criminele dienstverlening toeneemt (Cybercrime as a service).

Wereldwijd vinden er inmiddels gemiddeld 2 cyberaanvallen plaats per seconde. 80% daarvan zijn Ddos-aanvallen of bedreiging door ransomware. De schade die hierdoor vorig jaar werd geleden is €20 miljard. Dat was 5 jaar geleden nog €325 miljoen. Recent onderzoek toont aan dat grote bedrijven (>€10 miljard omzet) gemiddeld 50 veiligheidsincidenten per dag registreren met een omzetschade van gemiddeld 5%. Met name in het mkb investeert het grootste deel van de ondernemingen niet of voornamelijk nog reactief naar aanleiding van een veiligheidsincident. De snelle toename van het aantal incidenten toont echter meer en meer de noodzaak voor een proactief cyberrisicobeleid.

Groei veiligheidsincidenten

Nederland is een hightech economie met een hoog kennisniveau. Naast ransomware en Ddos-aanvallen zijn Nederlandse bedrijven daarom ook gevoelig voor bedrijfsspionage. De groei van het aantal digitale veiligheidsincidenten zorgt voor een stijging in de vraag naar cyberpreventie en cyberresponse en een toename van bedrijven die deze diensten aanbieden.

Voordat je zo’n aanbieder toegang geeft tot alle kwetsbare systemen, wil je als ondernemer zekerheid over de betrouwbaarheid van je geselecteerde leverancier. Onlangs nog beschuldigde Microsoft een Oostenrijks cybersecurity bedrijf van het bouwen van spyware om banken en verzekeraars mee aan te vallen. Ook vanuit de Verenigde Staten en Brazilië zijn voorbeelden bekend van bedrijven die via pentesters kostbare data kwijtraakten. Om betrouwbaarheid toetsbaar te maken heeft het CCV het keurmerk pentesten ontwikkeld. Het keurmerk borgt de betrouwbaarheid van de leverancier en de aangeboden pentest-dienstverlening.

Wat is een pentest?

Een pentest (penetratietest) is een van de middelen die ondernemingen kunnen inzetten om de cyberbestendigheid van hun systemen en de mensen die deze systemen gebruiken te onderzoeken. Bij zo’n test kruipt een onderzoeker in de huid van een kwaadwillende hacker en probeert toegang te krijgen tot de digitale systemen van een bedrijf. Door ethisch hackers regelmatig deze testen te laten uitvoeren, heeft een ondernemer zicht op de digitale beveiliging van zijn bedrijf. Het is namelijk van belang dat deze mee evolueert met de toenemende dreigingen.

Personeel als de zwakste schakel

Een zwakke schakel in de cyberweerbaarheid van elk bedrijf zijn de eigen medewerkers. Zij vormen een belangrijk aandachtspunt bij een optimale bedrijfsbeveiliging. Hackers hebben namelijk een manier nodig om systemen binnen te dringen. Het Cybersecurity & Infrastructuur Security Agency (CISA) uit de VS schrijft dat ransomware het makkelijkst bij organisaties binnenkomt via email phishing. Ruim 40% van alle ransomware aanvallen zijn te linken aan deze malafide e-mails. 70% van alle veiligheidsincidenten heeft dan ook een interne oorzaak. Maar niet alleen de eigen medewerkers moeten zich goed bewust zijn van de gevaren van cyberaanvallen. Dit geldt ook voor andere bedrijven in de keten van toeleveranciers of afnemers.

Leveranciers zijn vaak kleinere bedrijven. Omdat hun IT-infrastructuur minder complex is en de bestedingen aan cyberveiligheid vaak geringer, zijn zij voor cybercriminelen een eenvoudiger doelwit. Veel bedrijven borgen tegenwoordig in de inkoopvoorwaarden dat toeleveranciers vooraf vastgestelde veiligheidsmaatregelen moeten nemen en dat ook moeten aantonen. Bedrijven kunnen zelf al veel doen om hun weerbaarheid te verhogen. Denk hierbij aan maatregelen als het gebruik van authenticatie-opties, endpoint-bescherming voor alle devices, maar ook een goed beleid voor rechten en toegang. Pentesten vormen de check of de genomen maatregelen afdoende zijn.

Garantie onder de veiligheid van de uitvoering

Het CCV is een onafhankelijke stichting die helpt veiligheidsproblemen in kaart te brengen en op te lossen. Een van de tools die ze daarvoor gebruikt, is het ontwikkelen van keurmerken. Onafhankelijk toezicht op de kwaliteit van pentest-diensten is een belangrijke en noodzakelijke stap in de strijd tegen cybercriminaliteit. Het maakt de aantoonbare kwaliteit van cyberdiensten inzichtelijk. Dankzij dit keurmerk kunnen ondernemers erop vertrouwen dat de aanbieder van de pentest goed werk levert.

Bij de ontwikkeling en het onderhoud van dit keurmerk zijn een groot aantal belanghebbende partijen betrokken. Onder andere Politie Nederland, VNO-NCW/MKB-Nederland, CIO Platform Nederland, Cyberveilig Nederland, NLdigital, Digital Trust Center, Online Trust Coalitie, de ministeries van Justitie en Veiligheid en Economische Zaken en het Verbond van Verzekeraars leverden hun deskundige input.

Marko van Leeuwen van het Verbond van Verzekeraars ziet het aantal verzekeraars dat CCV-gecertificeerde pentesters eist toenemen. “Dat is ook logisch, omdat het keurmerk aan verzekeraars en ondernemers de garantie biedt dat wat nodig en afgesproken is voor wat betreft de veiligheid van de uitvoering van de test op het juiste niveau is. Maar niet alleen verzekeraars en ondernemers hebben baat bij dit keurmerk. Ook de gecertificeerde leverancier van de pentest heeft de waarborg dat het voldoet aan alle normen en dat het geen blaam treft wanneer er toch een incident plaatsvindt.”

Een actief cyberveiligheidsbeleid optuigen

Patrick van den Brink, directeur van het CCV, is blij met de award die het keurmerk pentesten onlangs won. “De Computable Award is een mooie erkenning voor het harde werk van alle betrokken partijen. We dragen met het keurmerk voor pentesten bij aan het verhogen van de cyberweerbaarheid van het Nederlandse bedrijfsleven. Inmiddels hebben we de volgende stappen gezet. Er liggen plannen om in de komende periode nog een aantal andere keurmerken op het gebied van cybersecurity dienstverlening te ontwikkelen.”

Het keurmerk pentesten zoals dat er nu ligt, vormt de juiste tool voor bedrijven om de regie te kunnen nemen en een actief cyberveiligheidsbeleid op te tuigen. Door deze testen op regelmatige basis uit te voeren weet de ondernemer of hij zijn cyberveiligheid op orde heeft of nog een stap extra moet zetten om indringers buiten de digitale deur te houden. In het licht van de nog steeds verder doorgroeiende digitalisatie en de nieuwe kwetsbaarheden die daarmee ontstaan, is dat voor onze digitale infrastructuur en hightech economie geen overbodige luxe.

Ga voor een overzicht van cybersecuritybedrijven die werken met het CCV-keurmerk Pentesten naar: hetccv.nl/pentest