Hoe een pentest je bedrijf veilig houdt

Wat doet een pentester?

Tijdens een pentest doet de specialist alsof hij een cybercrimineel is die je bedrijf probeert aan te vallen. Vergelijk het met het inhuren van een ex-inbreker om te kijken of hij je huis binnen kan komen. Misschien kan hij makkelijk door een open raam naar binnen of blijkt je alarmsysteem niet goed te werken. Je pakt deze zwaktes aan voordat een echte inbreker toeslaat. Dit principe geldt ook voor de digitale beveiliging van je bedrijf.

De werking van een pentest

Een pentest is altijd afgestemd op jouw situatie. Samen met de pentester, die ook wel een ethisch hacker wordt genoemd, bepaal je wat het doel van de test is en welke systemen hij mag aanvallen. Dit kan bijvoorbeeld je WiFi-netwerk zijn, waarbij de hacker probeert klantgegevens te stelen.

Verschillende soorten pentests

Je kunt ook bepalen hoeveel voorkennis de pentester heeft. Bij een 'black box' pentest heeft de hacker geen informatie over je bedrijf, wat lijkt op een cybercrimineel die je systemen voor het eerst aanvalt. Bij een 'grey box' pentest geef je de hacker beperkte toegang, alsof hij al binnen je netwerk zit. Bij een 'white box' pentest krijgt de hacker volledige toegang en informatie, zoals wachtwoorden en broncodes, om een applicatie diepgaand te testen.

Wat als je wordt aangevallen?

De pentester zoekt naar zwakke plekken en probeert via deze kwetsbaarheden je systemen binnen te dringen, bijvoorbeeld om gegevens te stelen. Hierdoor zie je welke schade een echte cyberaanval zou kunnen aanrichten, zonder dat je bedrijf daadwerkelijk gevaar loopt.

Repareren van kwetsbaarheden

De gevonden kwetsbaarheden kun je vervolgens oplossen. Sommige zaken kun je zelf aanpakken, zoals het inschakelen van tweefactorauthenticatie (2FA), waarmee je inloggen veiliger maakt door een extra stap toe te voegen. Voor meer complexe problemen kun je een IT-dienstverlener of een cybersecurityspecialist inschakelen.

Door de adviezen van de pentester op te volgen, verklein je de kans dat cybercriminelen je netwerk binnenkomen, en bescherm je je geld en gegevens beter.

Wat kost een pentest?

De kosten van een pentest hangen af van de omvang en diepgang van de test. Een kleine pentest kost ongeveer duizend euro en duurt een dag, waarin de pentester je systeem controleert op de meest voorkomende kwetsbaarheden. Een grondigere test kan echter duizenden tot tienduizenden euro's kosten en weken duren. Gelukkig kun je tijdens de test vaak gewoon blijven werken.

Herhaal de test regelmatig

Een pentest geeft je een momentopname van je beveiliging. Cybercriminelen blijven echter niet stilzitten; ze vinden steeds nieuwe manieren om kwetsbaarheden te misbruiken. Ook veranderen je IT-systemen voortdurend. Daarom is het verstandig om regelmatig, bijvoorbeeld jaarlijks, een pentest uit te laten voeren, vooral als je met gevoelige gegevens werkt.

Is een pentest risicovol?

Een pentest kan risico's met zich meebrengen, zoals verminderde systeemprestaties tijdens de test. Bespreek van tevoren met de ethisch hacker welke risico's acceptabel zijn en zorg ervoor dat de pentester betrouwbaar is, zodat hij geen misbruik maakt van de gevonden kwetsbaarheden of je gevoelige gegevens.

Kies voor erkende pentesters

Werk alleen samen met een erkend securitybedrijf dat is aangesloten bij de branchevereniging Cyberveilig Nederland of dat een landelijk keurmerk voor pentesten heeft. Je kunt een overzicht van erkende pentesters vinden bij het Centrum voor Criminaliteitspreventie en Veiligheid (CCV).

Zorg voor een vrijwaringsverklaring

Voordat je met een pentest begint, stel je samen met de pentester een vrijwaringsverklaring op, ook wel 'pentestwaiver' genoemd. Hierin geef je toestemming voor de digitale aanval en regel je aansprakelijkheid en geheimhouding. Deze verklaring is net als de pentest zelf maatwerk. Een erkend securitybedrijf heeft hier ervaring mee, en voor extra zekerheid kun je een ICT-jurist inschakelen die meekijkt.

Tot slot

Wil je na het lezen van deze blog meer weten? Bij Firm24 staan we voor je klaar! Neem contact op voor een vrijblijvend adviesgesprek. Of lees een interessante blog over hoe je de betaalervaring van jouw website optimaliseert.