Wegwijzer Veilig Online

Zo houdt een pentest je bedrijf veilig

Datalekken en cyberaanvallen op bedrijven domineren de laatste tijd het nieuws. Ook de politie bevestigt een sterke stijging in online criminaliteit. Is jouw IT-beveiliging op orde? Dit kun je testen met een pentest. Ontdek waarom een pentest ook voor kleine bedrijven nuttig is.

“Met een pentest, of ‘penetration test’, zoek je naar zwakke plekken in je digitale systemen”, vertelt Steven Dondorp, CEO van securitybedrijf Northwave. Een pentester is een ethisch hacker, oftewel een hacker die je inhuurt om de digitale veiligheid van je netwerk, je systemen, of specifieke software te testen. Hij ontdekt bijvoorbeeld kwetsbaarheden in je systeem. “Die fouten kun je dan preventief oplossen, voordat cybercriminelen er misbruik van maken.” En dat is zinvol als je bedenkt dat het aantal gevallen van cybercrime in 2020 steeg met 127%.

1. Hoe werkt een pentest?

Nu denk je misschien: doe mij maar zo’n test. Helaas, dé pentest bestaat niet. Hoe de test eruitziet hangt af van het systeem dat je test, de reikwijdte of ‘scope’ van de test, en welke informatie jij als ondernemer vooraf vrijgeeft. Denk aan accounts, wachtwoorden of broncode. Soms zoekt de pentester handmatig naar kwetsbaarheden. Of hij voert een diepgaand onderzoek uit en loopt iedere regel computercode langs. Andere keren speurt een script automatisch naar zwakheden.

2. Waarom is een pentest interessant voor mkb’ers?

“Het gaat er niet om of je groot of klein bent, maar of je werkt met gevoelige gegevens en IT-systemen”, zegt Dondorp. “En dat doet tegenwoordig bijna iedereen.” Hij raadt aan regelmatig te controleren of die gegevens en systemen goed beschermd zijn.

“Op die manier voorkom je dat criminelen uittesten of je kwetsbaar bent, met gevolgen waarover we dagelijks in de krant lezen bij ondernemers groot of klein.” Cybercriminelen installeren via kwetsbaarheden bijvoorbeeld malware of gijzelen je systeem met ransomware. Begin je liever simpel? Start dan met een gratis cyberscan. Let op: gebruik alleen scans van onafhankelijke, betrouwbare partijen.

3. Wat kost een pentest?

De prijs van een pentest hangt volledig af van de omvang, benodigde diepgang voor testen en de kwaliteit van rapportage van die test. “Het maakt natuurlijk uit of je het hele bedrijf wil pentesten, alleen een stuk netwerk, of alleen 1 applicatie.”

Een kleine pentest met gemiddelde diepgang en rapportage op hoofdzaken kost volgens Dondorp bij kleinere securitybedrijven tussen de 895 en 1500 euro. Dan kijkt de pentester niet in detail naar de broncode maar checkt je systeem op veelvoorkomende kwetsbaarheden.

Hoe groter je bedrijf en hoe complexer de IT, hoe duurder de test. “Als de test zeer complex is en zelfs het kleinste foutje gevonden moet worden, kan de prijs oplopen tot vele tienduizenden euro’s per test.” Voor zo’n test schakel je een groter securitybedrijf in.

4. Is dat niet gevaarlijk, een hacker loslaten op gevoelige gegevens?

Je wilt natuurlijk zeker weten dat een ethisch hacker geen misbruik maakt van jouw gevoelige informatie. Daarom is het volgens Dondorp belangrijk om pentesten alleen uit te laten voeren door erkende en integere securitybedrijven. “Kijk bijvoorbeeld of het securitybedrijf zelf wel gecertificeerd is op informatiebeveiliging met ‘ISO27001’, of is aangesloten bij de branchevereniging Cyberveilig Nederland.” Sinds 1 april 2021 is er een landelijk keurmerk voor pentesten.

Zorg dat je IT-leveranciers, zoals je hostingbedrijf, op de hoogte zijn van de test. Op die manier voorkom je bijvoorbeeld dat je webhoster je site blokkeert vanwege verdachte activiteit.

5. Wat gebeurt er na een pentest?

De laatste stap is het belangrijkst: repareer de kwetsbaarheden die de pentester heeft gevonden. “Bij een goede pentest worden altijd in de rapportage aanbevelingen en verbetervoorstellen toegevoegd”, zegt Dondorp. Sommige zaken kun je zelf oplossen, zoals sterkere wachtwoorden. Andere zaken, zoals aanpassingen in de broncode, mogelijk niet.

“Maar met het rapport kan de ondernemer wel gericht om actie vragen bij bijvoorbeeld de leverancier of de IT-partner, om zaken op te lossen.” Meestal volgt kort na de test een check-up. Dan controleert de pentester nog 1 keer of de fouten in de beveiliging inderdaad zijn opgelost.

Tegen welke digitale gevaren moet je je bedrijf beschermen? Dit moet je weten over cybercrime.
Liesbeth Sparks

Hoe kun je je bedrijf beschermen tegen digitale bedreigingen? Daar houd ik me voor KVK mee bezig. Ik volg het laatste nieuws rond cybersecurity en spreek met experts en wetenschappers. Wat ik te weten kom deel ik graag met ondernemers!

InspiratiePage