Zo houdt een pentest je bedrijf veilig

“Met een pentest, of ‘penetration test’, zoek je naar zwakke plekken in je digitale systemen”, vertelt Steven Dondorp, CEO van securitybedrijf Northwave. Een pentester is een ethisch hacker, oftewel een hacker die je inhuurt om de digitale veiligheid van je netwerk, je systemen, of specifieke software te testen. Een ethisch hacker ontdekt bijvoorbeeld kwetsbaarheden in je systeem. “Die fouten kun je dan preventief oplossen, voordat cybercriminelen er misbruik van maken.” En dat is zinvol als je bedenkt dat de politie in 2021 14.000 aangiften van cybercrime kreeg, bijna een derde meer dan een jaar eerder.

1. Hoe werkt een pentest?

Nu denk je misschien: doe mij maar zo’n test. Helaas, dé pentest bestaat niet. Hoe de test eruitziet hangt af van het systeem dat je test, de reikwijdte of ‘scope’ van de test, en welke informatie jij als ondernemer vooraf vrijgeeft. Denk aan accounts, wachtwoorden of broncode. Soms zoekt de pentester handmatig naar kwetsbaarheden. Of die voert een diepgaand onderzoek uit en loopt iedere regel computercode langs. Andere keren speurt een script automatisch naar zwakheden.

2. Waarom is een pentest interessant voor mkb’ers?

“Het gaat er niet om of je groot of klein bent, maar of je werkt met gevoelige gegevens en IT-systemen”, zegt Dondorp. “En dat doet tegenwoordig bijna iedereen.” Hij raadt aan regelmatig te controleren of die gegevens en systemen goed beschermd zijn.

“Op die manier voorkom je dat criminelen uittesten of je kwetsbaar bent, met gevolgen waarover we dagelijks in de krant lezen bij ondernemers groot of klein.” Cybercriminelen installeren via kwetsbaarheden bijvoorbeeld malware of gijzelen je systeem met ransomware. Begin je liever simpel? Start dan met een gratis cyberscan. Let op: gebruik alleen scans van onafhankelijke, betrouwbare partijen.

3. Wat kost een pentest?

De prijs van een pentest hangt volledig af van de omvang, benodigde diepgang voor testen en de kwaliteit van rapportage van die test. “Het maakt natuurlijk uit of je het hele bedrijf wil pentesten, alleen een stuk netwerk, of alleen een applicatie.”

Een kleine pentest met gemiddelde diepgang en rapportage op hoofdzaken kost volgens Dondorp bij kleinere securitybedrijven tussen de 900 en 1500 euro. Dan kijkt de pentester niet in detail naar de broncode maar checkt je systeem op veelvoorkomende kwetsbaarheden.

Hoe groter je bedrijf en hoe complexer de IT, hoe duurder de test. “Als de test zeer complex is en zelfs het kleinste foutje gevonden moet worden, kan de prijs oplopen tot vele tienduizenden euro’s per test.” Voor zo’n test schakel je een groter securitybedrijf in.

4. Is dat niet gevaarlijk, een hacker loslaten op gevoelige gegevens?

Je wilt natuurlijk zeker weten dat een ethisch hacker geen misbruik maakt van jouw gevoelige informatie. Daarom is het volgens Dondorp belangrijk om pentesten alleen uit te laten voeren door erkende en integere securitybedrijven. “Kijk bijvoorbeeld of het securitybedrijf zelf wel gecertificeerd is op informatiebeveiliging met ‘ISO27001’, of is aangesloten bij de branchevereniging Cyberveilig Nederland.” Sinds 1 april 2021 is er een landelijk keurmerk voor pentesten.

Zorg dat je IT-leveranciers, zoals je hostingbedrijf, op de hoogte zijn van de test. Op die manier voorkom je bijvoorbeeld dat je webhoster je site blokkeert vanwege verdachte activiteit.

5. Wat gebeurt er na een pentest?

De laatste stap is het belangrijkst: repareer de kwetsbaarheden die de pentester heeft gevonden. “Bij een goede pentest worden altijd in de rapportage aanbevelingen en verbetervoorstellen toegevoegd”, zegt Dondorp. Sommige zaken kun je zelf oplossen, zoals sterkere wachtwoorden. Andere zaken, zoals aanpassingen in de broncode, mogelijk niet.

“Maar met het rapport kan de ondernemer wel gericht om actie vragen bij bijvoorbeeld de leverancier of de IT-partner, om zaken op te lossen.” Meestal volgt kort na de test een check-up. Dan controleert de pentester nog 1 keer of de fouten in de beveiliging inderdaad zijn opgelost.

Heb jij je bedrijf laten pentesten? We komen graag met je in contact. Deel je ervaring via kvk.cyber@kvk.nl.