Keurmerk voor pentesten gelanceerd

Bij een pentest, een afkorting van ‘penetratietest’, kruipen onderzoekers in de huid van een kwaadwillende hacker en proberen op allerlei manieren kwetsbaarheden op te sporen. Onafhankelijk toezicht op kwaliteit van pentest-diensten te vergroten, komt het Centrum voor Criminaliteitspreventie en Veiligheid (het CCV) in samenwerking met een aantal andere partijen nu met een keurmerk voor pentesten.

Directeur van Cyberveilig Nederland (de grootste belangenvereniging van cybersecurity dienstverleners) Petra Oldengarm is blij met het nieuwe keurmerk: “De cybersecuritysector in Nederland is volop in ontwikkeling. Bijna dagelijks starten nieuwe bedrijven en initiatieven, zonder dat er een check op kwaliteit is. Gezien de digitale kwetsbaarheid van de Nederlandse ondernemingen is dat ongewenst. Afnemers krijgen met dit keurmerk duidelijkheid over de kwaliteit van pentesten.”

Het bijbehorende certificatieschema is gebaseerd op NEN-EN-ISO/IEC 17065. De komende periode kunnen de eerste certificatie-instellingen een contract afsluiten met het CCV. Rond de zomer zal naar verwachting de eerste aanbieder van pentesten het certificaat Pentesten ontvangen.

'Blij met certificatieschema'

Oldengarm: “Als belangenvereniging van de cybersecuritysector hebben we kwaliteit hoog in het vaandel staan. We zijn daarom blij dat we het certificatieschema voor pentesten in gebruik kunnen gaan nemen. Wat ons betreft gaan we verder op de ingeslagen weg en komen er ook keurmerken voor andere soorten cybersecuritydiensten.”

Belang goede pentest

Het belang van goede pentesten is groot. In een eerder rapport over de door ransomware getroffen gemeente Hof van Twente werden meerdere misstanden geconstateerd, waaronder een vorig jaar uitgevoerde pentest waarbij een IP-adres zou zijn gemist waarlangs de digitale gijzelnemers zijn binnengekomen. 

IT-dienstverlener Sogeti reageerde doorverwijzend op de verdenking dat het een pentest bij de gemeente Hof van Twente niet goed zou hebben uitgevoerd. Dat ransomwareslachtoffer heeft maanden vóór die geslaagde aanval een pentest laten uitvoeren door Sogeti.