Bedrijven krijgen steeds meer te maken met cyberdreigingen, zoals ransomware-aanvallen en datalekken. De roep om betrouwbare pentesten wordt dan ook groter. Bij een pentest (afkorting van ‘penetratietest’) kruipen onderzoekers in de huid van een kwaadwillende hacker. Ze proberen op allerlei manieren kwetsbaarheden op te sporen door dezelfde methodes te gebruiken als cybercriminelen of cyberspionnen. Zo leggen ze zwakke plekken van een website, applicatie of gehele IT-infrastructuur bloot. Na afloop van een pentest kunnen kwetsbaarheden met gerichte maatregelen verholpen worden. In samenwerking met een groot aantal partijen, waaronder de Online Trust Coalitie, komt het Centrum voor Criminaliteitspreventie en Veiligheid (het CCV) nu met een keurmerk voor pentesten.
Waarom een keurmerk?
Bedrijven en organisaties lopen grote risico’s wanneer de beveiliging van hun systemen niet op orde is. Onafhankelijk toezicht op de kwaliteit van pentest-diensten is een belangrijke stap in de strijd tegen cybercriminelen. Directeur van Cyberveilig Nederland (de grootste belangenvereniging van cybersecurity
dienstverleners) Petra Oldengarm is blij met het nieuwe keurmerk: “De cybersecuritysector in Nederland is volop in ontwikkeling. Bijna dagelijks starten nieuwe bedrijven en initiatieven, zonder dat er een check op kwaliteit is. Gezien de digitale kwetsbaarheid van de Nederlandse ondernemingen is dat ongewenst. Afnemers krijgen met dit keurmerk duidelijkheid over de kwaliteit van pentesten.”
Publicatie certificatieschema
Het Certificatieschema Pentesten is vandaag gepubliceerd. Het schema is gebaseerd op NEN-EN-ISO/IEC 17065. De komende periode kunnen de eerste certificatie-instellingen een contract afsluiten met het CCV. Rond de zomer zal naar verwachting de eerste aanbieder van pentesten het certificaat Pentesten ontvangen. Oldengarm: “Als belangenvereniging van de cybersecuritysector hebben we kwaliteit hoog in het vaandel staan. We zijn daarom blij dat we het certificatieschema voor pentesten in gebruik kunnen gaan nemen. Wat ons betreft gaan we verder op de ingeslagen weg en komen er ook keurmerken voor andere soorten cybersecuritydiensten.”
Voor alle antwoorden op vragen over pentesten, certificatie, contracten en de rol van het CCV is er een pagina met Veelgestelde Vragen
Commissie van Belanghebbenden
Het keurmerk is tot stand gekomen in nauwe samenwerking met een Commissie van Belanghebbenden Cybersecurity. Deze commissie bestaat uit de volgende partijen: VNO-NCW / MKB Nederland, CIO Platform, Verbond van Verzekeraars, Politie, Cyberveilig Nederland, NLdigital, Digital Trust Center en Online Trust Coalitie.
Dit bericht is eerder gepubliceerd op de website van het Centrum voor Criminaliteitspreventie en Veiligheid (CCV).