Keurmerk voor pentesten: de kwaliteitsstandaard van de toekomst

Pentesten spelen een belangrijke rol in de preventie van cybercrime. Met het CCV-keurmerk Pentesten laten cybersecuritybedrijven zien dat ze kwaliteit leveren.

Een penetratietest (kortweg: pentest) is bedoeld om te komen tot effectieve maatregelen die de kwetsbaarheden van een digitaal systeem verminderen. De inzet van ethische hackers die de toegang tot bedrijfssystemen (zoals websites, applicaties en andere onderdelen van de ict-infrastructuur) onder de loep nemen, is een belangrijke methode om de cyberveiligheid en digitale weerbaarheid van organisaties te vergroten.

Uitvoering

De uitvoering van pentesten moet uiteraard deskundig en integer gebeuren. Organisaties moeten erop kunnen vertrouwen dat een leverancier van pentesten volgens de laatste (digitale) stand van zaken werkt, de interne processen en procedures op orde heeft, en volledig te vertrouwen is. Om de kwaliteit, betrouwbaarheid en integriteit van de dienstverlening te borgen, is het CCV-Certificatieschema Cybersecurity Pentesten ontwikkeld. Sinds de lancering een jaar geleden hebben acht Nederlandse cybersecuritybedrijven het CCV-keurmerk Pentesten behaald.

Kwaliteitsstandaarden

Cyberveilig Nederland, belangenvereniging van de cybersecuritysector, is vanaf de start betrokken bij de ontwikkeling van het CCV-keurmerk Pentesten. “Eén van de voornaamste doelstellingen van Cyberveilig Nederland is om te komen tot kwaliteitsstandaarden voor cybersecuritydienstverlening. Een keurmerk voor pentesten hoort daarbij”, vertelt directeur Petra Oldengarm. Cyberveilig Nederland is in 2018 opgericht met als doel de digitale weerbaarheid van Nederland te vergroten en daarnaast de kwaliteit en transparantie binnen de cybersecuritysector te verhogen.

“Wij vinden het heel belangrijk dat er keurmerken zijn voor de veelgebruikte diensten van cybersecuritybedrijven. Het certificeringsschema voor pentesten is een goede stap op weg naar een grotere kwaliteitswaarborg voor de sector.”   Het Centrum voor Criminaliteitspreventie en Veiligheid (het CCV) ontwikkelde het keurmerk in samenwerking met de Nationale Politie, Digital Trust Center, Verbond van Verzekeraars, VNO-NCW / MKB-Nederland, Cyberveilig Nederland, NLdigital, CIO Platform Nederland en Online Trust Coalitie. In het certificatieschema worden kwaliteitseisen gesteld aan de praktische uitvoering van de pentest, maar ook aan de organisatie die de dienst levert. Dat betekent bijvoorbeeld dat de personen die een pentest uitvoeren daartoe zijn gekwalificeerd, en dat er een duidelijke klachtenprocedure is ingericht.

De juiste keuze maken
“Cybersecuritydienstverlening is een relatief jonge markt, met veel nieuwe toetreders. Onze leden merken dat het moeilijk is voor klanten om te bepalen welke bedrijven goed en betrouwbaar zijn. Het keurmerk voor pentesten helpt opdrachtgevers om een goede keuze te maken”, zegt Oldengarm over het belang van het keurmerk. “Er waren al een aantal certificaten en standaards in de markt die opdrachtgevers kunnen gebruiken om een indicatie te krijgen van de kwaliteit van de processen, methodieken en rapportages van aanbieders van pentesten. Maar je moet je er flink in verdiepen om te ontdekken wat de normen precies betekenen en welke leverancier volgens welke standaarden werkt. Met het CCV-keurmerk kun je er als opdrachtgever vanuit gaan dat een dienstverlener voldoet aan de basiskwaliteitseisen voor een goede pentest.”

Networking4All is 1 van de eerste cybersecuritybedrijven die de certificering met succes heeft doorlopen. Bert Alting, security manager en MT-lid van Networking4All: “Het keurmerk vermindert de risico’s die ontstaan als een organisatie de verkeerde acties onderneemt op basis van een niet goed uitgevoerde pentest. Je moet er toch niet aan denken dat je een week na een pentest gehackt wordt, omdat er niet volgens de standaards is getest? De komst van het CCV-keurmerk Pentesten maakt het cowboys op de cybersecuritymarkt moeilijker om ondermaatse diensten te leveren. Het keurmerk stelt bijvoorbeeld verplicht dat pentesten handmatig worden uitgevoerd, wat veel betrouwbaardere resultaten geeft dan een geautomatiseerde aanpak.”

Alting ziet dat certificering niet alleen voor de klant, maar ook voor de eigen organisatie voordelen heeft. “Wij merken dat onze interne kwaliteit door de certificering omhoog is gegaan. Het keurmerk houdt ons scherp om steeds op de interne processen te letten. Rapportages van pentesten bevatten natuurlijk gevoelige gegevens, dus daar moet je uiterst zorgvuldig mee omgaan. Als onderdeel van het certificatieproces is de interne controle op onze rapportages aangescherpt. Zo hanteren we nu altijd een vierogenprincipe, met een controle door een gecertificeerde specialist.”

Groeiende marktvraag
Het CCV-keurmerk Pentesten schetst kwaliteitsstandaarden voor een veelgebruikte methode om cyberveiligheid te versterken. Cyberveilig Nederland verwacht dat een groeiend aantal dienstverleners aan de normen van het certificeringsschema gaat voldoen. Oldengarm: “Er ligt nu een baseline en cybersecuritybedrijven ervaren een groeiende marktvraag naar kwaliteit en transparantie. Natuurlijk kost certificering hen tijd en geld. Sommige cybersecuritybedrijven hebben de uitvoering al goed op orde, maar moeten nog stappen zetten met de interne processen. In de ontwikkeling van het keurmerk is meegenomen dat het een haalbare standaard is voor grote én kleine aanbieders. Vooral voor kleine cybersecuritybedrijven liggen er echt kansen om je met het keurmerk te onderscheiden in de markt: je komt er positief mee in de schijnwerpers te staan, zelfs als je – nog – geen bekend merk bent. De investeringen in de certificering staan naar mijn idee dan ook zeker in verhouding tot wat het keurmerk je oplevert.”

Certificering als selectiecriterium
Met het CCV-keurmerk Pentesten zien opdrachtgevers van cybersecuritydienstverleners in 1 oogopslag dat de pentesten voldoen aan een onafhankelijke kwaliteitsnorm. De verwachting is dat organisaties het keurmerk in toenemende mate gaan gebruiken als selectiecriterium. Oldengarm: “De website van Cyberveilig Nederland wordt doorontwikkeld om de diensten en producten van onze leden overzichtelijk in beeld te brengen. Daarbij gaan we ook aangeven welke aanbieders van pentesten zijn gecertificeerd, zodat opdrachtgevers daarop eenvoudig kunnen selecteren. We merken nu al dat een groeiend aantal opdrachtgevers de weg vindt naar de website van het CCV, waar de gecertificeerde bedrijven worden vermeld.”

Via de Commissie van Belanghebbenden stimuleert het CCV partijen zoals het CIO-Platform Nederland en VNO-NCW om het keurmerk onder de aandacht te brengen van hun netwerk. Oldengarm verwacht ook vanuit de overheid een groeiende vraag naar gecertificeerde bedrijven. “Het Nationaal Cyber Security Centrum (NCSC) stimuleert de komst van keurmerken die bijdragen aan de kwaliteit van de markt in producten en diensten voor cybersecurity. De overheid ziet voor zichzelf ook een voorbeeldfunctie als het gaat om de inkoop van gecertificeerde diensten. We zijn als belangenvereniging met de overheid in gesprek om te verkennen hoe de overheid zelf ook kan bijdragen aan het gebruik van het keurmerk, door het goede voorbeeld te geven.”

Cyberveilig Nederland signaleert ook een toenemende belangstelling voor keurmerken in de internationale wet- en regelgeving. “Het TIBER-NL programma van Nederlandse banken is een Europese standaard voor red teaming geworden. Zoiets zou voor pentesten ook kunnen gebeuren, nu hier als eerste land in de Europese Unie een onafhankelijk keurmerk voor pentesten is.” Networking4All verwacht sowieso een zonnige toekomst voor het keurmerk voor pentesten. Alting: “Hoe meer cybersecuritybedrijven gecertificeerd zijn, hoe beter. Je verbetert er als organisatie je werkwijze mee. En naarmate opdrachtgevers meer weten over het bestaan en de inhoud van het keurmerk zal de aandacht ervoor ook verder toenemen. Zo zal uiteindelijk de kwaliteit van pentesten steeds meer verbeteren. En daar doen we het toch allemaal voor.”

Certificatie-instellingen DEKRA en Kiwa
Cybersecuritybedrijven die inschatten te voldoen aan het CCV-Certificatieschema Cybersecurity Pentesten kunnen bij certificatie-instelling DEKRA of Kiwa terecht voor een audit. Wanneer de audit met succes wordt doorlopen reikt de certificatie-instelling het certificaat Cybersecurity Pentesten uit. Er vindt jaarlijks een beoordeling uit om te controleren of nog steeds wordt voldaan aan de kwaliteitseisen van het keurmerk. Cybersecuritybedrijven die werken met het CCV-keurmerk Pentesten zijn zichtbaar op een overzichtskaart van het CCV. Heb je vragen over het keurmerk? Bekijk dan de veelgestelde vragen.