Zo houdt een pentest je bedrijf veilig
- De basis
- 2 maart 2021
- Bijgewerkt 19 juni 2024
- 2 min
- Runnen en groeien
- Veilig zakendoen
Met een pentest, ofwel 'penetration test', controleer je of je IT-beveiliging op orde is. Tijdens zo’n test valt een cybersecurityspecialist je digitale systemen aan. Daarna vertelt die je welke zwakke plekken er zijn en hoe je die repareert. Veel bedrijven, van groot tot klein, werken met gevoelige gegevens en IT-systemen. Regelmatig pentesten is dan extra belangrijk.
Bescherm je bedrijf
In onze e-mailserie lees je hoe je omgaat met digitale risico’s.
De specialist die je inhuurt doet alsof die een crimineel is en een cyberaanval uitvoert. Het is alsof je een ex-inbreker vraagt je huis of bedrijfspand binnen te dringen. Komt die eenvoudig binnen door een raam dat op een kier staat? Of werkt je alarmsysteem niet zoals het hoort? Je repareert deze kwetsbaarheden voordat er een echte inbreker in je huis staat. Doe dat ook met de digitale systemen van je bedrijf.
Hoe werkt een pentest?
Een pentest is altijd maatwerk. Je spreekt met de tester, ook wel ethisch hacker, duidelijk af wat het doel van de pentest is. En welke systemen de hacker mag aanvallen. Die test bijvoorbeeld je WiFi-netwerk en probeert zo klantinformatie te stelen.
Voorkennis
Je bepaalt ook welke voorkennis de aanvaller heeft. Bij een ‘black box’ pentest weet de hacker niets over je bedrijf. Dat lijkt op een cybercrimineel die voor het eerst aan je digitale deur rammelt. Bij een ‘grey box’ pentest geef je de hacker beperkt toegang tot je systemen. Zo doe je alsof een cybercrimineel al in je bedrijfsnetwerk zit. En bij een ‘white box’ pentest krijgt de pentester alle informatie en toegang. Denk aan wachtwoorden en broncode. De opdracht is dan bijvoorbeeld de veiligheid van een applicatie grondig te testen.
Gevolgen van een cyberaanval
De pentester zoekt naar zwakke plekken in je IT-beveiliging. En dringt vervolgens via die plekken je systemen binnen en steelt bijvoorbeeld gegevens. Zo zie je wat de mogelijke gevolgen van een cyberaanval zijn, zonder dat het je bedrijf echt beschadigt.
Kwetsbaarheden repareren
Repareer de kwetsbaarheden die de hacker ontdekt. Sommige zaken los je zelf op, zoals 2FA aanzetten. Met 2FA gaat inloggen op je accounts in twee stappen. Dat is veiliger, want naast je wachtwoord heb je een extra code nodig. Die krijg je bijvoorbeeld via een SMS of via een authenticator-app. Voor ingewikkeldere zaken schakel je je IT-dienstverlener of een cybersecurityspecialist in.
Als je de adviezen van de pentester opvolgt, komt een cybercrimineel minder snel je netwerk binnen. En zijn je geld en gegevens beter beveiligd.
Wat kost een pentest?
De prijs en duur van een pentest hangen af van wat je laat testen. Een kleine pentest kost rond de duizend euro en duurt ongeveer een dag. Dan checkt de pentester je systeem op veelvoorkomende kwetsbaarheden. Is de test uitgebreider en grondiger? Dan kan het bedrag oplopen tot duizenden of tienduizenden euro’s. Zo'n grondige test kan weken duren. Over het algemeen kun je tijdens de test blijven werken op systemen die een pentest ondergaan.
Regelmatig herhalen
Een pentest is een momentopname. Het zegt iets over je beveiliging op dit moment. Cybercriminelen zitten niet stil. Ze ontdekken en misbruiken steeds nieuwe kwetsbaarheden. Ook veranderen je IT-systemen. Je vervangt bijvoorbeeld een computer, of je installeert nieuwe software. Bij voorkeur herhaal je een pentest daarom regelmatig, bijvoorbeeld elk jaar. Zeker als je werkt met gevoelige gegevens en IT-systemen.
Is een pentest gevaarlijk?
Een pentest kan gevaarlijk zijn. Tijdens de test kan een systeem bijvoorbeeld minder goed werken. Je bespreekt daarom vooraf met de ethisch hacker welke risico’s acceptabel zijn. Ook wil je zeker weten dat de pentester zelf betrouwbaar is. En geen misbruik maakt van zwakke plekken in je systemen of van je gevoelige gegevens.
Erkende pentesters
Schakel alleen een erkend securitybedrijf in. Check of het is aangesloten bij de branchevereniging . En of het een landelijk voor pentesten heeft. Bekijk het van het Centrum voor Criminaliteitspreventie en Veiligheid (CCV) voor pentesters met zo’n keurmerk.
Vrijwaringsverklaring
Voordat een pentest begint, stel je met de pentester een , ofwel ‘pentestwaiver’, op. Hierin geef je onder meer toestemming voor een digitale aanval. Ook regel je daarin aansprakelijkheid en geheimhouding. Een pentestwaiver is maatwerk, net als de pentest zelf. Een erkend securitybedrijf heeft hier ervaring mee. Wil je nog meer zekerheid? Schakel dan een ICT-jurist in die meekijkt.