Ga naar de inhoud

Veelgestelde vragen

Slot voor digitale veiligheid

Algemeen: pentesten en ethisch hacken

Een penetratietest of pentest is een handmatige controle waarbij men zo diep mogelijk wil binnendringen in een systeem om zwakke plekken te vinden en de gevolgen hiervan te kennen. Men gebruikt die zwakke plekken om nog wat dieper in het systeem te komen. Doel van de test is niet om zoveel mogelijk zwakke plekken te vinden. Dat gebeurt wel bij een vulnerability scan.

De vulnerability assessment is een handmatige controle waarbij men zwakke plekken in een systeem opspoort. Men bepaalt vooraf hoe men dat doet. Bij een vulnerability assessment probeert men alle zwakke plekken te vinden in een klein gebied. Dat is anders dan bij een penetratietest waarbij men zo diep mogelijk in een systeem wil komen.

Zie binnenkort ook: ‘buyers guide security testen’ – Cyberveilig Nederland.

Een geautomatiseerde controle die zwakke plekken in een systeem opspoort. Alleen als het vals alarm is, haalt men die er handmatig uit.

De pentest en vulnerability scan bestaan voor het grootste gedeelte uit handmatige controles uitgevoerd door een gespecialiseerde ethische hacker. Creativiteit en kennis spelen een essentiële rol in het vinden van risico’s die anders onopgemerkt blijven. Wanneer het merendeel van de test geautomatiseerd is, wordt dit een vulnerability scan genoemd. Een vulnerability scan heeft in veel gevallen niet de intelligentie om kwetsbaarheden te ontdekken die van deze bekende patronen afwijken.

Algemeen: certificatie

Op de website van het CCV wordt in een filmpje van 2 minuten uitgelegd wat certificeren is en hoe het in zijn werk gaat:

Met een keurmerk of certificaat toont een bedrijf aan dat de geleverde producten en/of diensten aan de norm voldoen. Dit wordt beoordeeld door een certificatie-instelling, die een overeenkomst heeft met het CCV. Door te kiezen voor een CCV-keurmerk kies je voor kwaliteit.

Het CCV is de eigenaar van het schema pentesten. Zij is de onafhankelijk schemabeheerder en de opsteller van het document. Als ‘spelbegeleider’ heeft het CCV de belangen van certificatie-instellingen, afnemers en consumenten bij elkaar gebracht.

Vragen voor afnemers

Potentiële klanten hebben een eigen onderzoeksplicht naar de achtergrond van dienstverleners. Op de website van het CCV staan alle gecertificeerde bedrijven.

De afnemer van een pentest sluit een overeenkomst af met een gecertificeerde pentest-dienstverlener. De kosten voor het uitvoeren van een pentest verschillen per soort test, omvang en dienstverlener. Voor de kosten van een pentest dien je dus een offerte aan te vragen bij een cybersecurity dienstverlener die pentesten aanbiedt. Vanaf medio juli 2021 zijn dienstverleners die werken met het keurmerk te vinden via hetccv.nl/vakman.

Ja, als de dienstverlener niet voldoet aan de eisen uit het certificatieschema kan de dienstverlener worden geschorst of kan de licentie worden ingetrokken.

Bij schorsing of intrekking mag de dienstverlener in zijn communicatie niet meer verwijzen naar zijn gecertificeerde status. Als hij toch klanten werft met zijn gecertificeerde status is er sprake van fraude. Het is aan de certificatie-instelling om hierop toezicht te houden. Het CCV treedt op tegen dienstverleners die geen klant zijn bij een certificatie-instelling en ten onrechte gebruik maken van een keurmerk.

De vermelding op vakman van de dienstverlener wordt aangepast van ‘gecertificeerd’ naar ‘geschorst’. De dienstverlener is echter niet verplicht om actief naar zijn bestaande klanten te communiceren over een schorsing. Bij een schorsing is de geconstateerde tekortkoming oplosbaar. Bij intrekking moet er meer gebeuren bij de dienstverlener om weer te voldoen aan de eisen. De vermelding wordt in dat geval al dan niet tijdelijk verwijderd van vakman.

Een pentester wordt gekwalificeerd op basis van praktijkcertificaten. De lijst met kwalificaties staat op de website van het CCV en wordt jaarlijks gereviewd en waar nodig aangepast / geactualiseerd op basis van input van de brancheorganisatie Cyberveilig Nederland.  Eventuele wijzigingen worden bevestigd in de Commissie van Belanghebbenden, waarin alle bij het project betrokken stakeholders zijn vertegenwoordigd: kaderstellers, afnemers, dienstverleners en certificatie-instellingen.

Het Certificatieschema Pentesten gaat uit van minimaal een verklaring omtrent het gedrag (VOG) van maximaal 3 jaar oud. Als een afnemer een zwaardere screening noodzakelijk acht van de dienstverlener / medewerker, dan kan dit bij de opdrachtverstrekking worden afgesproken en geregeld. In het merendeel van de gevallen kan met een VOG van maximaal 3 jaar oud worden volstaan.

Op basis van een penetratietest kunnen kwetsbaarheden worden vastgesteld. Aan hand van het pentestrapport kunnen de gevonden kwetsbaarheden en risico’s verholpen of beperkt worden. Om er zeker van te zijn dat de gevonden kwetsbaarheden op de juiste manier zijn opgelost, is het aan te raden om een hertest uit te voeren. Een hertest kan onderdeel uitmaken van een pentest, maar is niet verplicht. Als het geen standaard onderdeel vormt van een pentest, is dit geen reden voor afkeur door de certificatie-instelling.

Technische hulpmiddelen voor het uitvoeren van pentesten veranderen doorlopend. Daarom zijn deze niet vastgelegd in het certificatieschema. De certificatie-instelling monitort dat de leverancier voldoet aan alle eisen die gesteld worden aan de pentest. Dit betekent dat medewerkers gekwalificeerd zijn en dat gebruik wordt gemaakt van actuele en effectieve hulpmiddelen om kwetsbaarheden op te sporen.

Dit is maatwerk en geen onderdeel van het certificatieschema. In de meeste gevallen zal de overeenkomst worden ondertekend door de directie van de organisatie. Aanvullend of in plaats daarvan kan eventueel de verantwoordelijk manager of de directeur IT (CIO) de overeenkomst ondertekenen.

Deze is afhankelijk van specifieke omstandigheden bij de afnemer. De scope, omvang en het omgaan met eventuele afwijkingen / bijzonderheden wordt vooraf contractueel vastgelegd tussen leverancier en afnemer.

Afspraken over het verwerken van persoonsgegevens, anonimiseren en bewaartermijnen worden vastgelegd in de algemene voorwaarden van dienstverlener en eventueel aanvullend in de overeenkomst tussen dienstverlener en afnemer.

Er wordt in het contract tussen de pentest organisatie en afnemer een geheimhoudingsverklaring opgenomen, ten behoeve van het beschermen van de afnemer, waarin afspraken hierover worden vastgelegd.

Vragen voor cybersecurity dienstverleners

Een cybersecurity dienstverlener moet voldoen aan de eisen uit het CCV-Certificatieschema Cybersecurity Pentesten. Dit betekent dat er kwaliteitseisen worden gesteld aan de uitvoering van de dienst (pentest), maar ook aan jouw organisatie. Zo beschikken pentester(s) over de gestelde kwalificaties, is er een klachtenprocedure ingericht, enzovoort.

Belangrijk punt is dat de eisen niet alleen worden uitgevoerd, maar dat je ook kunt aantonen dat je volgens de kwaliteitseisen werkt. Bijvoorbeeld met een kwaliteitsmanagementsysteem. Tijdens de audit in jouw organisatie wordt dit gecontroleerd.

Als jouw organisatie meerdere soorten pentesten aanbiedt, dan geldt het keurmerk voor alle pentesten. Let op: een pentest is iets anders dan een vulnerability scan. Deze valt niet onder het CCV-keurmerk. In het certificatieschema staat de definitie van pentesten.

Om gecertificeerd te worden voor het CCV-keurmerk pentesten doorloopt jouw organisatie de volgende stappen:

  • Je maakt een inschatting of jouw organisatie voldoet aan de gestelde kwaliteitseisen uit het CCV-Certificatieschema Cybersecurity Pentesten.
  • Je benadert een certificatie-instelling die het certificatieschema bij jouw organisatie uitvoert. Je sluit een overeenkomst met de door jou gekozen certificatie-instelling, DEKRA, DigiTrust of Kiwa.
  • De certificatie-instelling controleert of jouw organisatie aan de eisen in het CCV certificatieschema pentesten voldoet door een audit uit te voeren.
  • Als uit de audit tekortkomingen naar voren komen, dan los je deze voor jouw organisatie op. Dit koppel je terug aan de certificatie-instelling.
  • Als je de audit met positief resultaat hebt afgerond, ontvang je van de certificatie-instelling het certificaat Cybersecurity Pentesten.
  • Vanaf dat moment kun je pentesten met het CCV-keurmerk uitvoeren.
  • Jouw organisatie wordt als Vakman zichtbaar op de website van het CCV.
  • Jaarlijks voert de certificatie-instelling een beoordeling uit of nog steeds wordt voldaan aan de kwaliteitseisen van het keurmerk.

Nee, dit is wettelijk niet verplicht.

Het CCV sluit geen rechtstreekse overeenkomst af met de cybersecurity dienstverlener. De dienstverlener sluit een overeenkomst af met een certificatie-instelling (CI). Het CCV heeft dus ook geen zeggenschap over de kosten die de certificatie-instelling berekent aan de dienstverleners. Voor meer informatie over kosten voor certificering kun je een offerte aanvragen bij één van de certificatie-instellingen: DEKRADigiTrust of Kiwa.

Je wordt als Vakman opgenomen in de database van het CCV. Klanten kunnen via deze zoekmachine de gecertificeerde cybersecurity dienstverleners vinden. Daarnaast mag je in jouw eigen communicatie naar de markt aangeven dat je pentesten onder het CCV-keurmerk aanbiedt.

Certificering wordt uitgevoerd door certificatie-instellingen die voldoen aan de eisen uit het certificatie-schema en die een licentieovereenkomst voor het keurmerk Pentesten hebben afgesloten met het CCV. Op dit moment zijn dat DEKRA, DigiTrust en Kiwa.

De certificatie-instellingen voeren altijd een audit uit conform de eisen uit het CCV Certificatieschema Pentesten. De certificatie-instellingen hebben elk hun eigen werkwijze waarop zij een bedrijf certificeren. Deze eigen aanpak kan leiden tot verschillen in bijvoorbeeld de dienstverlening, planning of de kosten.

Dit wordt opgenomen in de leveringsvoorwaarden of opdrachtovereenkomst tussen dienstverlener en afnemer. Zo kan worden vastgelegd dat dit te allen tijde vooraf met de afnemer wordt afgestemd, dat uitbesteding alleen plaatsvindt na uitdrukkelijke toestemming door de afnemer.

Nee. Een certificatie-instelling moet in staat worden gesteld een kwaliteitsbeoordeling gedegen te kunnen uitvoeren. Dat raakt bijvoorbeeld ‘toegang tot informatie’. De dienstverlener moet in de algemene voorwaarden opnemen dat personeel van de certificatie-instelling in het kader van toezicht op de kwaliteitsborging aanwezig kan zijn. Ook random bijwonen van pentesten moet mogelijk zijn voor geloofwaardig toezicht.

Dit hangt van een aantal factoren af. Allereerst moet je scherp hebben of jouw organisatie klaar is voor certificering doordat je de gestelde eisen kunt expliciet schriftelijk kunt aantonen. Denk aan een dossier over het pentesten, de kwalificaties van medewerkers, de aanwezigheid van een kwaliteitsmanagementsysteem, enzovoort.

Je moet de certificatie-instelling van informatie voorzien ter voorbereiding op de audit. Denk hierbij aan recent KvK-uittreksel, een organogram van jouw organisatie en het kwaliteitsmanagementsysteem. De beschikbaarheid van de mensen, zowel in jouw organisatie als bij de certificatie-instelling is ook van invloed op de planning. De doorlooptijd is tevens afhankelijk van de grootte van jouw organisatie, het aantal pentesten dat je uitvoert en de daarmee samenhangende steekproef.

Keurmerken staan voor kwaliteit. Jouw bedrijf onderscheidt zich positief in een voor afnemers vaak onoverzichtelijke cybersecurity markt. Klanten zien direct dat jouw pentesten voldoen aan een onafhankelijk kwaliteitskeurmerk en kunnen dat gebruiken als selectiecriterium.

De genoemde certificaten worden als ‘te licht’ ervaren voor wat een gekwalificeerd pentester minimaal moet kennen en kunnen.

Het CCV-keurmerk pentesten richt zich vooralsnog alleen op de Nederlandse markt. Er is daarom nog geen Engelstalige variant van het beeldmerk.

Er worden geen eisen gesteld aan de omvang van jouw organisatie. Het gaat om de kwaliteit van de uitgevoerde pentest.

Vragen over certificatie-instellingen

De certificatie-instelling voert jaarlijks een audit uit op het kantoor van de dienstverlener waarin wordt vastgesteld in hoeverre de dienstverlener nog steeds voldoet aan de voorwaarden voor certificering.

De certificatie-instellingen die het schema pentesten mogen uitvoeren, zijn minimaal geaccrediteerd door de Raad voor Accreditatie (RvA) voor de NEN-EN-ISO/IEC 17065 en voor de ISO 27000 serie.

Een CI die interesse heeft om het keurmerk uit te voeren kan contact opnemen met het CCV via cybersecurity@hetccv.nl. Een pre-licentie wordt afgesloten en het kwaliteitssysteem wordt conform het schema ingevuld. Vervolgens voert het CCV een licentie-audit uit. Als deze met goed gevolg is afgerond dan sluit de CI een licentie met het CCV af. De kosten voor een licentie staan vermeld op het tarievenblad.

Een certificatie-instelling sluit een licentieovereenkomst af met het CCV en betaalt voor het gebruik/uitvoeren van het certificatieschema jaarlijks een licentievergoeding. Daarnaast ontvangt het CCV via de certificatie-instelling inkomsten uit opcenten voor het gebruik/vermelding van het keurmerk en voor elke (onder het keurmerk) uitgevoerde pentest. Deze inkomsten worden o.a. gebruikt voor het beheer van het schema.

De tarieven voor de certificatie-instelling zijn ook terug te vinden op het tarievenblad dat het CCV jaarlijks publiceert.