Het Centrum voor Criminaliteitspreventie en Veiligheid (CCV) introduceert het keurmerk Pentesten. Met dit keurmerk is Nederland het eerste land in Europa dat cybersecuritydiensten de mogelijkheid geeft hun kwaliteit aan te tonen met een label. De kwaliteit van geleverde diensten wordt getoetst door onafhankelijke certificeringsinstellingen.
De lancering van het keurmerk moet de spelregels voor de markt duidelijk maken. Naar verwachting zijn in juli de eerste cybersecuritydiensten op kwaliteit te controleren.
Het keurmerk Pentesten is tot stand gekomen dankzij de samenwerking van een grote groep partijen. Betrokken zijn de politie, het Verbond van Verzekeraars, VNO-NCW, MKB Nederland, CIO Platform, Cyberveilig Nederland, NLdigital, Digital Trust Center en Online Trust Coalitie. Ook ministeries keken mee.
Bedrijven krijgen steeds meer te maken met cyberdreigingen, zoals ransomware-aanvallen en datalekken. De roep om betrouwbare pentesten wordt dan ook groter. Bij een pentest kruipen onderzoekers in de huid van een hacker. Ze proberen op allerlei manieren kwetsbaarheden op te sporen door dezelfde methodes te gebruiken als cybercriminelen of cyberspionnen.
Onlangs bleek hoe fout het kan gaan als opdrachtgevers blindelings vertrouwen op pentesten en daar te veel conclusies aan verbinden. De Gemeente Hof van Twente werd de dupe van een ransomware-aanval terwijl een eerdere pentest van Sogeti de indruk had gewekt dat er geen dreigende problemen waren en dat de gemeente de beveiliging redelijk op orde had. Het was Sogeti bijvoorbeeld niet opgevallen dat de ftp-server bij de Twentse gemeente wagenwijd openstond. Ook was verzuimd te rapporteren dat het gemeentelijke netwerk geen segmentatie kende. Volgens een kritisch rapport van onderzoeker Brenno de Winter rammelde de rapportage van Sogeti ook methodologisch aan alle kanten.
Check
Onafhankelijk toezicht op de kwaliteit van
Het Certificatieschema Pentesten is hier beschikbaar. Het schema is gebaseerd op NEN-EN-ISO/IEC 17065. Rond de zomer zal naar verwachting de eerste aanbieder van pentesten het certificaat Pentesten ontvangen.
Het is goed dat dit certificaat er komt. Ik denk alleen niet dat klanten dit certificaat accepteren als ze lezen wat er vereist wordt: 4.5.2 vereist dat de certificeringsinstelling (CCV) de uitvoering en de rapportages steeksproefsgewijs controleert. Dit houdt in dat het rapport zeer waarschijnlijk heel bedrijfsgevoelige informatie bij een ongerelateerde derde terecht komt. Welke klant zou zo iets accepteren? Welk bedrijf zou accepteren dat klanten weglopen door deze certificering? Het grootste deel van de certificering kan ik alleen maar toejuichen maar die controles (hoewel begrijpelijk want hoe anders kan het CCV controleren of de certificaathouder goed werkt) maken het onwerkbaar.