CCV introduceert keurmerk Pentesten
Het Centrum voor Criminaliteitspreventie en Veiligheid (CCV) introduceert het keurmerk Pentesten. Met dit keurmerk is Nederland het eerste land in Europa dat cybersecuritydiensten de mogelijkheid geeft hun kwaliteit aan te tonen met een label. De kwaliteit van geleverde diensten wordt getoetst door onafhankelijke certificeringsinstellingen.
De lancering van het keurmerk moet de spelregels voor de markt duidelijk maken. Naar verwachting zijn in juli de eerste cybersecuritydiensten op kwaliteit te controleren.
Het keurmerk Pentesten is tot stand gekomen dankzij de samenwerking van een grote groep partijen. Betrokken zijn de politie, het Verbond van Verzekeraars, VNO-NCW, MKB Nederland, CIO Platform, Cyberveilig Nederland, NLdigital, Digital Trust Center en Online Trust Coalitie. Ook ministeries keken mee.
Bedrijven krijgen steeds meer te maken met cyberdreigingen, zoals ransomware-aanvallen en datalekken. De roep om betrouwbare pentesten wordt dan ook groter. Bij een pentest kruipen onderzoekers in de huid van een hacker. Ze proberen op allerlei manieren kwetsbaarheden op te sporen door dezelfde methodes te gebruiken als cybercriminelen of cyberspionnen.
Onlangs bleek hoe fout het kan gaan als opdrachtgevers blindelings vertrouwen op pentesten en daar te veel conclusies aan verbinden. De Gemeente Hof van Twente werd de dupe van een ransomware-aanval terwijl een eerdere pentest van Sogeti de indruk had gewekt dat er geen dreigende problemen waren en dat de gemeente de beveiliging redelijk op orde had. Het was Sogeti bijvoorbeeld niet opgevallen dat de ftp-server bij de Twentse gemeente wagenwijd openstond. Ook was verzuimd te rapporteren dat het gemeentelijke netwerk geen segmentatie kende. Volgens een kritisch rapport van onderzoeker Brenno de Winter rammelde de rapportage van Sogeti ook methodologisch aan alle kanten.
