Keurmerk Pentesten: Cyberveiligheid steeds belangrijker in digitale wereld

Steeds meer Nederlanders komen in aanraking met cybercriminaliteit. Om kwetsbaarheden in de cyberbeveiliging van organisaties op te sporen, is de penetratietest (of pentest) een veelgebruikt middel. Om te borgen dat de aanbieders van pentesten kwalitatief goed werk leveren, ontwikkelde het Centrum voor Criminaliteitspreventie en Veiligheid (het CCV) samen met een groot aantal partijen, waaronder Kiwa, het Keurmerk Pentesten. Over pentesten in het algemeen en het nieuwe keurmerk in het bijzonder praten we met Tanja Stoops van het CCV en René Bisperink en Marco Bom, respectievelijk ethisch hacker/pentester en lead auditor bij Kiwa.

Tanja Stoops – adviseur keurmerken bij het CCV

Hoe is het Keurmerk Pentesten ontstaan?

Cybersecurity is een hot topic. Ondernemingen en organisaties lopen grote risico’s als de fysieke en digitale beveiliging niet op orde is. Het aantal cybersecuritybedrijven groeit vrij snel en bijna dagelijks starten er nieuwe initiatieven zonder dat daarbij een check is gedaan op de kwaliteit van de geleverde diensten. Gezien de impact van een cyberincident op organisaties en de digitale kwetsbaarheid van het Nederlandse bedrijfsleven is dat ongewenst.

Een groot aantal partijen heeft in de strijd tegen cybercriminaliteit de handen ineengeslagen en samen het eerste keurmerk voor een cybersecuritydienst ontwikkeld, het Keurmerk Pentesten. Hiermee regelen we onafhankelijk toezicht op de kwaliteit van pentest-diensten. Dit is een belangrijke stap in de strijd tegen cybercriminaliteit. Afnemers krijgen met dit keurmerk duidelijkheid over de kwaliteit van pentesten.

Door bij de ontwikkeling samen te werken met partijen die verschillende belangen vertegenwoordigen, is breed draagvlak voor het keurmerk gecreëerd. Naast expertise van cybersecuritybedrijven die dagelijks pentesten uitvoeren, is ook meegedacht vanuit de afnemers, de verzekeraars, de politie en uiteraard de certificatieinstellingen.

Aan het Keurmerk Pentesten is meegewerkt door tal van partijen, waardoor er gelijk een breed draagvlak is gecreëerd. Die breedte blijkt ook uit de Commissie van Belanghebbenden (CvB), met daarin VNO-NCW, MKB-Nederland, het Verbond van Verzekeraars, de Nationale Politie, Cyberveilig Nederland, NLdigital, het CIO Platform Nederland, DTC, de Online Trust Coalitie en certificatieinstellingen Dekra en Kiwa.

Welk voordeel hebben organisaties die het Keurmerk Pentesten hebben behaald?

Met een keurmerk of certificaat kan een bedrijf zich onderscheiden. Een onafhankelijke certificatieinstelling als Kiwa heeft op basis van objectieve criteria beoordeeld dat de pentest-dienst aan een bepaalde kwaliteit voldoet. Door te kiezen voor een CCV-keurmerk kies en sta je dus voor kwaliteit. Hierdoor krijgen afnemers duidelijkheid over de kwaliteit van pentesten. De beoordeling is uiteraard niet eenmalig. Een certificatieinstelling komt periodiek toetsen of de kwaliteit van de pentesten op orde is.

Hoe gaat het CCV het keurmerk verder beheren en de kwaliteit daarvan borgen?

Het CCV is een stichting zonder winstoogmerk en is onafhankelijk schemabeheerder. Met certificatieinstellingen die aan bepaalde vereisten voldoen sluit het CCV licentieovereenkomsten af. Bijvoorbeeld met Kiwa. Kiwa mag hierdoor de beoordelingen bij cybersecuritybedrijven voor het Keurmerk Pentesten uitvoeren. In de licentieovereenkomst staan ook allerlei afspraken, zoals bijvoorbeeld periodieke audits van het CCV bij Kiwa. Wij gaan dan na of Kiwa voldoende is toegerust om de beoordelingen voor het Keurmerk Pentesten goed te kunnen uitvoeren. Ook stemmen we met alle licentienemers eventuele praktische problemen bij de uitvoering af. Tot slot is het belangrijk dat het keurmerk up-to-date blijft. Door veranderende techniek of risico’s kunnen certificatieschema’s op onderdelen verouderen. Om te zorgen dat ze blijven aansluiten bij de praktijk toetsen we periodiek met de experts en door praktijkervaringen het keurmerk op actualiteit. Wanneer nodig worden wijzigingen doorgevoerd.

René Bisperink, ethisch hacker/pentester bij Kiwa Fire Safety & Security Products

Wat is voor jou de noodzaak van pentesten?

Voor mij ligt die met name in het op een gecontroleerde wijze aftoetsen van de beveiliging van systemen. Ik gebruik daarbij de tools, tactieken en procedures die een cybercrimineel ook zou kunnen gebruiken om misbruik te maken van het systeem. Organisaties dekken hun risicoprofiel af met passende technische en organisatorische maatregelen.

Een pentest behoort in veel gevallen ook tot die passende maatregelen, omdat kwetsbaarheden en risico’s hiermee zichtbaar worden gemaakt. Op basis daarvan kan de organisatie maatregelen nemen om deze risico’s en kwetsbaarheden te mitigeren of te accepteren. Ik denk dat het laten uitvoeren van een pentest een waardevolle beoordeling kan zijn van de onderzochte systemen in combinatie met andere maatregelen.

Waarom wordt dit voor de toekomst steeds belangrijker voor organisaties?

Ik denk dat het nu al erg belangrijk is! Maar nu begint de markt er steeds meer op in te spelen. Dat komt ook doordat incidenten rond hacks en andere vormen van cybercriminaliteit regelmatig in het nieuws zijn. Organisaties beseffen steeds beter dat cybercrime een gigantische impact kan hebben op de dagelijkse bedrijfsvoering en het voortbestaan van een bedrijf. Daarnaast leven we natuurlijk een samenleving die steeds ‘digitaler’ wordt. We worden steeds meer afhankelijk van software en dus wordt de veiligheid daarvan ook steeds belangrijker.

Hoe kijk jij naar het nieuwe Keurmerk Pentesten?

Ik zie het nieuwe schema vooral als een eerste stap voor standaardisatie van het werkveld. Binnen de pentestbranche is er niet echt een standaard waaraan pentesters zich moeten houden. Er zijn wel standaarden voor het aftoetsen van veiligheid voor verschillende soorten applicaties, maar die hebben niet altijd de juiste diepgang. Het CCV-schema zegt vooral op organisatorische wijze iets over de kwaliteit van de pentest, bijvoorbeeld over het beheer van technische kwalificaties van de pentesters op basis van certificaten, de basisinformatie die een pentestrapportage moet bevatten (zoals de scope en vanaf waar er getest wordt), beoordelingen op de rapportages op correctheid, juistheid en de beproeving, boordeling op de herleidbaarheid en reproduceerbaarheid van de bevindingen en de beoordeling van het kwaliteitssysteem van de organisatie die de pentesten uitvoert.

Wat wil jij als pentester organisaties meegeven als tip?

Bekijk vooral wat voor úw organisatie belangrijk is. Dit hoeft niet altijd een pentest te zijn, maar het kan ook gaan om een technisch security assessment, waarbij de tester op een specifieke applicatie of server zaken komt testen. Of om een vulnerability assessment, waarbij de tester probeert zoveel mogelijk kwetsbaarheden te identificeren. Als pentester heb ik het liefst dat alles wat ik probeer te misbruiken niet lukt, wat dus ook wat zegt over de kwaliteit van de systemen.

Daarnaast heb ik het als pentester vaak over het laaghangende fruit. De tester probeert vaak eerst de zaken die het makkelijkst zijn en mogelijk de grootste impact hebben. Zo werkt het ook vaak bij criminelen. Door de basis goed af te dekken maak je het een tester al gelijk een stuk moeilijker.

Marco Bom, lead-auditor bij Kiwa Cyber Security Certification

Wat is volgens jou als auditor de meerwaarde van Keurmerk Pentesten?

Met name de aantoonbaarheid van kwaliteit van de uiitgevoerde pentest. Dit op het gebied van ervaren, geschoolde en bekwame pentesters, het gebruik van geschikte tooling en handmatige beoordelingen en het opleveren van heldere rapportages, reproduceerbare testresultaten en aanbevelingen.

Hoe borgen organisaties de kwaliteit met dit nieuwe keurmerk?

Het keurmerk omvat eisen voor het inrichten van een kwaliteitsmanagementsysteem gericht op het uitvoeren van pentesten. Om te kunnen certificeren moeten organisaties zo’n kwaliteitssysteem inrichten volgens het welbekende ‘plan-do-check-act’-principe. Dit systeem wordt dan periodiek intern en extern beoordeeld op de juiste werking.  

Moet het Keurmerk Pentesten worden gecombineerd met andere keurmerken voor digitale veiligheid, zoals de ISO/IEC 27001?

Met de ISO 27001 is er niet veel overlap, omdat het CCV-keurmerk niet primair ingaat op de risico’s en beveiligingsmaatregelen van de organisatie zelf. Het Keurmerk Pentesten raakt eerder aan systemen voor kwaliteitsmanagement als de ISO 9001. Maar in principe kunnen organisaties zich prima alleen voor het Keurmerk Pentesten certificeren.

Welke tips heb jij als auditor voor organisaties die het Keurmerk Pentesten willen behalen?

Probeer op de eerste plaats om het keurmerk te integreren in eventuele reeds aanwezige (kwaliteits)managementsystemen. Vergelijk daarnaast de manier waarop op dit moment pentesten worden uitgevoerd en ga werken volgens de inhoudelijke eisen uit het certificatieschema van het keurmerk. Ga tenslotte aan de gang met de eisen uit het schema van het Keurmerk Pentesten die gaan over de organisatie rondom de uitvoering van de pentesten en breng hierin verbeteringen en standaardisering aan.