Zo houdt een pentest je bedrijf veilig

Met een pentest, ofwel 'penetration test', controleer je of je IT-beveiliging op orde is. Tijdens zo’n test valt een cybersecurityspecialist je digitale systemen aan. Daarna vertelt die je welke zwakke plekken er zijn en hoe je die repareert. Veel bedrijven, van groot tot klein, werken met gevoelige gegevens en IT-systemen. Regelmatig pentesten is dan extra belangrijk.

De specialist die je inhuurt doet alsof die een crimineel is en een cyberaanval uitvoert. Het is alsof je een ex-inbreker vraagt je huis of bedrijfspand binnen te dringen. Komt die eenvoudig binnen door een raam dat op een kier staat? Of werkt je alarmsysteem niet zoals het hoort? Je repareert deze kwetsbaarheden voordat er een echte inbreker in je huis staat. Doe dat ook met de digitale systemen van je bedrijf.

Hoe werkt een pentest?

Een pentest is altijd maatwerk. Je spreekt met de tester, ook wel ethisch hacker, duidelijk af wat het doel van de pentest is. En welke systemen de hacker mag aanvallen. Die test bijvoorbeeld je WiFi-netwerk en probeert zo klantinformatie te stelen.

Voorkennis

Je bepaalt ook welke voorkennis de aanvaller heeft. Bij een ‘black box’ pentest weet de hacker niets over je bedrijf. Dat lijkt op een cybercrimineel die voor het eerst aan je digitale deur rammelt. Bij een ‘grey box’ pentest geef je de hacker beperkt toegang tot je systemen. Zo doe je alsof een cybercrimineel al in je bedrijfsnetwerk zit. En bij een ‘white box’ pentest krijgt de pentester alle informatie en toegang. Denk aan wachtwoorden en broncode. De opdracht is dan bijvoorbeeld de veiligheid van een applicatie grondig te testen.

Gevolgen van een cyberaanval

De pentester zoekt naar zwakke plekken in je IT-beveiliging. En dringt vervolgens via die plekken je systemen binnen en steelt bijvoorbeeld gegevens. Zo zie je wat de mogelijke gevolgen van een cyberaanval zijn, zonder dat het je bedrijf echt beschadigt.

Kwetsbaarheden repareren

Repareer de kwetsbaarheden die de hacker ontdekt. Sommige zaken los je zelf op, zoals 2FA aanzetten. Met 2FA gaat inloggen op je accounts in twee stappen. Dat is veiliger, want naast je wachtwoord heb je een extra code nodig. Die krijg je bijvoorbeeld via een SMS of via een authenticator-app. Voor ingewikkeldere zaken schakel je je IT-dienstverlener of een cybersecurityspecialist in.

Als je de adviezen van de pentester opvolgt, komt een cybercrimineel minder snel je netwerk binnen. En zijn je geld en gegevens beter beveiligd.

Wat kost een pentest?

De prijs en duur van een pentest hangen af van wat je laat testen. Een kleine pentest kost rond de duizend euro en duurt ongeveer een dag. Dan checkt de pentester je systeem op veelvoorkomende kwetsbaarheden. Is de test uitgebreider en grondiger? Dan kan het bedrag oplopen tot duizenden of tienduizenden euro’s. Zo'n grondige test kan weken duren. Over het algemeen kun je tijdens de test blijven werken op systemen die een pentest ondergaan.

Regelmatig herhalen

Een pentest is een momentopname. Het zegt iets over je beveiliging op dit moment. Cybercriminelen zitten niet stil. Ze ontdekken en misbruiken steeds nieuwe kwetsbaarheden. Ook veranderen je IT-systemen. Je vervangt bijvoorbeeld een computer, of je installeert nieuwe software. Bij voorkeur herhaal je een pentest daarom regelmatig, bijvoorbeeld elk jaar. Zeker als je werkt met gevoelige gegevens en IT-systemen.

Is een pentest gevaarlijk?

Een pentest kan gevaarlijk zijn. Tijdens de test kan een systeem bijvoorbeeld minder goed werken. Je bespreekt daarom vooraf met de ethisch hacker welke risico’s acceptabel zijn. Ook wil je zeker weten dat de pentester zelf betrouwbaar is. En geen misbruik maakt van zwakke plekken in je systemen of van je gevoelige gegevens.

Erkende pentesters

Schakel alleen een erkend securitybedrijf in. Check of het is aangesloten bij de branchevereniging Cyberveilig Nederland. En of het een landelijk keurmerk voor pentesten heeft. Bekijk het overzicht van het Centrum voor Criminaliteitspreventie en Veiligheid (CCV) voor pentesters met zo’n keurmerk.

Vrijwaringsverklaring

Voordat een pentest begint, stel je met de pentester een vrijwaringsverklaring, ofwel ‘pentestwaiver’, op. Hierin geef je onder meer toestemming voor een digitale aanval. Ook regel je daarin aansprakelijkheid en geheimhouding. Een pentestwaiver is maatwerk, net als de pentest zelf. Een erkend securitybedrijf heeft hier ervaring mee. Wil je nog meer zekerheid? Schakel dan een ICT-jurist in die meekijkt.