‘We laten regelmatig pentesten uitvoeren in de strijd tegen cybercrime’
Bedrijven krijgen steeds meer te maken met cyberdreigingen, zoals ransomware-aanvallen en datalekken. Thales Nederland laat pentesten uitvoeren om cyberdreigingen buiten de deur te houden. “We laten regelmatig pentesten uitvoeren. Als je pentesters in de huid laat kruipen van een hacker, dan geeft dat veel nieuwe inzichten.” Aan het woord is Henk van Steeg, voormalig Chief Information Officer (CIO) bij Thales Nederland.
Het bedrijf laat de pentesten uitvoeren door zowel een eigen team van pentesters als externe partijen. “Dat is een gezonde mix: een externe partij kent juist niet alle details van de infrastructuur.” Bij een pentest (afkorting van ‘penetratietest’) kruipen onderzoekers in de huid van een kwaadwillende hacker. Ze proberen op allerlei manieren kwetsbaarheden op te sporen van een website, applicatie of gehele IT-infrastructuur.
Twee soort pentesten tegen cyberdreigingen
Thales Nederland laat twee soorten pentesten uitvoeren. “De eerste is een bedreiging van binnenuit. Dan zetten we een poortje open en wordt geprobeerd om dieper in het systeem door te dringen. De andere test is een dreiging van buiten, waarbij de hacker moet proberen via internet bij het bedrijf binnen te komen”, vertelt Van Steeg. “Uit de pentesten komen bijna altijd actiepunten.”
Thales Nederland is onderdeel van Thales Group, een wereldwijde elektronicaonderneming die actief is op het gebied van luchtvaart, defensie en informatietechnologie. “We maken hightech producten voor met name defensie, maar ook voor bijvoorbeeld de betaalstructuur van de ov-chipkaart.”
In totaal werken bij Thales Nederland 2.500 mensen. “Als bedrijf verkopen wij high secure systemen. Het is voor onze klanten van groot belang dat de geleverde systemen veilig zijn.” Van Steeg vervolgt: “Dit is een gespecialiseerde tak van sport.” Daarom breidde Thales Nederland het cyberveiligheidsteam uit en verveelvoudigde ook de investering in cyberveiligheid de afgelopen zeven jaar.
Grootste cyberdreiging is spionage
De grootste cyberdreiging waar het concern mee te maken heeft, is spionage. “Andere landen die onze kennis proberen te stelen, zijn de grootste cyberdreiging.” Ddos-aanvallen waarbij systemen worden platgelegd en script kiddies waarbij een persoon zich misdraagt op internet, vormen volgens Van Steeg niet of nauwelijks een gevaar voor Thales Nederland.
Het cyberveiligheidsteam ziet veel. “Heel veel aanvallen worden getackeld.” Tot nu toe zijn er volgens Van Steeg nog geen criminelen geweest die Thales Nederland vroegen om geld in ruil voor gestolen bedrijfsgeheimen. Ook heeft het concern nog niet meegemaakt dat een van hun ontwerpen ergens opdook.
Strijd tegen cybercrime
In de strijd tegen cybercrime is bewustwording bij de medewerkers van Thales Nederland belangrijk, stelt Van Steeg. “Afgelopen jaar hebben we meer medewerkers ingelicht over de resultaten van de pentesten dan voorheen. We vertelden dat het heel vertrouwelijk was, dat iedereen zijn mobiele telefoon op vliegtuigstand moest zetten en deden de deur op slot. Dat maakte indruk.” Het heeft volgens hem bijgedragen aan een veiliger houding en gedrag. “De resultaten van de schijnaanval delen, zorgt ervoor dat mensen weten waarop ze moeten letten.”
Niet alleen de eigen medewerkers moeten zich goed bewust zijn van de gevaren. Dit geldt ook voor de bedrijven waarmee Thales Nederland zakendoet. “De cyberdreiging komt ook uit de grote keten waarvan wij deel uitmaken. Leveranciers zijn vaak kleinere bedrijven, waar cybercriminelen makkelijker binnenkomen”, vertelt Van Steeg. Daarom is dit bij het concern een onderwerp in de inkoopvoorwaarden. “We verwachten dat leveranciers een aantal dingen op orde hebben en daar willen we ook bewijs van zien. We moeten het samen doen. We zijn zo sterk als de zwakste schakel.”
‘Cybersecurity op orde houden is complex’
Thales Nederland laat een deel van de pentesten dus uitvoeren door een eigen afdeling en werkt voor de uitvoer van het andere deel samen met gerenommeerde bedrijven. “Je cybersecurity op orde houden is best complex, zeker voor bedrijven die daar bijvoorbeeld zelf weinig kennis van hebben. Dan ben je dus van een andere partij afhankelijk en dan is het megabelangrijk dat die partij betrouwbaar is, want je loopt hele grote risico’s. Kijk maar naar alle nieuwsberichten over bedrijven die worden gehackt. Je betaalt als het ware een verzekeringspremie, want zo zie ik de pentest, en daar wil je ook waarde voor krijgen.” Het is de reden waarom Thales Nederland zoveel investeert in hun cyberveiligheid en in die van de klanten.
CCV-keurmerk Pentesten
Onafhankelijk toezicht op de kwaliteit van pentest-diensten is een belangrijke stap in de strijd tegen cybercriminaliteit. Het Centrum voor Criminaliteitspreventie en Veiligheid heeft daarom, met hulp van een groot aantal belanghebbenden, vorig jaar het CCV-keurmerk Pentesten gelanceerd. Dankzij dit keurmerk kunnen afnemers erop vertrouwen dat de aanbieder van de pentest goed werk levert. Er zijn inmiddels ruim twintig cybersecuritybedrijven die pentesten kunnen leveren met CCV-keurmerk. Je vindt deze bedrijven via gekwalificeerde bedrijven.