Een penetratietest (kortweg: pentest) is bedoeld om te komen tot effectieve maatregelen die de
kwetsbaarheden van een digitaal systeem verminderen. De inzet van ethische hackers die de toegang tot
bedrijfssystemen (zoals websites, applicaties en andere onderdelen van de ict-infrastructuur) onder de loep
nemen, is een belangrijke methode om de cyberveiligheid en digitale weerbaarheid van organisaties te
vergroten.
De uitvoering van pentesten moet uiteraard deskundig en integer gebeuren. Organisaties moeten erop kunnen
vertrouwen dat een leverancier van pentesten volgens de laatste (digitale) stand van zaken werkt, de interne
processen en procedures op orde heeft, en volledig te vertrouwen is. Om de kwaliteit, betrouwbaarheid en
integriteit van de dienstverlening te borgen, is het CCV-Certificatieschema Cybersecurity Pentesten ontwikkeld.
Sinds de lancering een jaar geleden hebben acht Nederlandse cybersecuritybedrijven het CCV-keurmerk
Pentesten behaald.
Cyberveilig Nederland, belangenvereniging van de cybersecuritysector, is vanaf de start betrokken bij de
ontwikkeling van het CCV-keurmerk Pentesten. "Eén van de voornaamste doelstellingen van Cyberveilig
Nederland is om te komen tot kwaliteitsstandaarden voor cybersecuritydienstverlening. Een keurmerk voor
pentesten hoort daarbij", vertelt directeur Petra Oldengarm. Cyberveilig Nederland is in 2018 opgericht met als
doel de digitale weerbaarheid van Nederland te vergroten en daarnaast de kwaliteit en transparantie binnen de
cybersecuritysector te verhogen. "Wij vinden het heel belangrijk dat er keurmerken zijn voor de veelgebruikte
diensten van cybersecuritybedrijven. Het certificeringsschema voor pentesten is een goede stap op weg naar
een grotere kwaliteitswaarborg voor de sector."
Het Centrum voor Criminaliteitspreventie en Veiligheid (het CCV) ontwikkelde het keurmerk in samenwerking
met de Nationale Politie, Digital Trust Center, Verbond van Verzekeraars, VNO-NCW / MKB-Nederland,
Cyberveilig Nederland, NLdigital, CIO Platform Nederland en Online Trust Coalitie. In het certificatieschema
worden kwaliteitseisen gesteld aan de praktische uitvoering van de pentest, maar ook aan de organisatie die de
dienst levert. Dat betekent bijvoorbeeld dat de personen die een pentest uitvoeren daartoe zijn gekwalificeerd,
en dat er een duidelijke klachtenprocedure is ingericht.
De juiste keuze maken
"Cybersecuritydienstverlening is een relatief jonge markt, met veel nieuwe toetreders. Onze leden merken dat
het moeilijk is voor klanten om te bepalen welke bedrijven goed en betrouwbaar zijn. Het keurmerk voor
pentesten helpt opdrachtgevers om een goede keuze te maken", zegt Oldengarm over het belang van het
keurmerk. "Er waren al een aantal certificaten en standaards in de markt die opdrachtgevers kunnen gebruiken
om een indicatie te krijgen van de kwaliteit van de processen, methodieken en rapportages van aanbieders van
pentesten. Maar je moet je er flink in verdiepen om te ontdekken wat de normen precies betekenen en welke
leverancier volgens welke standaarden werkt. Met het CCV-keurmerk kun je er als opdrachtgever vanuit gaan
dat een dienstverlener voldoet aan de basiskwaliteitseisen voor een goede pentest."
Networking4All is één van de eerste cybersecuritybedrijven die de certificering met succes heeft doorlopen. Bert
Alting, security manager en MT-lid van Networking4All: "Het keurmerk vermindert de risico's die ontstaan als
een organisatie de verkeerde acties onderneemt op basis van een niet goed uitgevoerde pentest. Je moet er
toch niet aan denken dat je een week na een pentest gehackt wordt, omdat er niet volgens de standaards is
getest? De komst van het CCV-keurmerk Pentesten maakt het cowboys op de cybersecuritymarkt moeilijker om
ondermaatse diensten te leveren. Het keurmerk stelt bijvoorbeeld verplicht dat pentesten handmatig worden
uitgevoerd, wat veel betrouwbaardere resultaten geeft dan een geautomatiseerde aanpak."
Alting ziet dat certificering niet alleen voor de klant, maar ook voor de eigen organisatie voordelen heeft. "Wij
merken dat onze interne kwaliteit door de certificering omhoog is gegaan. Het keurmerk houdt ons scherp om
steeds op de interne processen te letten. Rapportages van pentesten bevatten natuurlijk gevoelige gegevens,
dus daar moet je uiterst zorgvuldig mee omgaan. Als onderdeel van het certificatieproces is de interne controle
op onze rapportages aangescherpt. Zo hanteren we nu altijd een vierogenprincipe, met een controle door een
gecertificeerde specialist."
Groeiende marktvraag
Het CCV-keurmerk Pentesten schetst kwaliteitsstandaarden voor een veelgebruikte methode om cyberveiligheid
te versterken. Cyberveilig Nederland verwacht dat een groeiend aantal dienstverleners aan de normen van het
certificeringsschema gaat voldoen. "Er ligt nu een baseline en cybersecuritybedrijven ervaren een groeiende
marktvraag naar kwaliteit en transparantie. Natuurlijk kost certificering hen tijd en geld. Sommige
cybersecuritybedrijven hebben de uitvoering al goed op orde, maar moeten nog stappen zetten met de interne
processen. In de ontwikkeling van het keurmerk is meegenomen dat het een haalbare standaard is voor grote én
kleine aanbieders. Vooral voor kleine cybersecuritybedrijven liggen er echt kansen om je met het keurmerk te
onderscheiden in de markt: je komt er positief mee in de schijnwerpers te staan, zelfs als je - nog - geen bekend
merk bent. De investeringen in de certificering staan naar mijn idee dan ook zeker in verhouding tot wat het
keurmerk je oplevert."
Certificering als selectiecriterium
Met het CCV-keurmerk Pentesten zien opdrachtgevers van cybersecuritydienstverleners in één oogopslag dat de
pentesten voldoen aan een onafhankelijke kwaliteitsnorm. De verwachting is dat organisaties het keurmerk in
toenemende mate gaan gebruiken als selectiecriterium. Oldengarm: "De website van Cyberveilig Nederland
wordt doorontwikkeld om de diensten en producten van onze leden overzichtelijk in beeld te brengen. Daarbij
gaan we ook aangeven welke aanbieders van pentesten zijn gecertificeerd, zodat opdrachtgevers daarop
eenvoudig kunnen selecteren. We merken nu al dat een groeiend aantal opdrachtgevers de weg vindt naar de
website van het CCV, waar de gecertificeerde bedrijven worden vermeld." Via de Commissie van
Belanghebbenden stimuleert het CCV partijen zoals het CIO-Platform Nederland en VNO-NCW om het keurmerk
onder de aandacht te brengen van hun netwerk.
Oldengarm verwacht ook vanuit de overheid een groeiende vraag naar gecertificeerde bedrijven. "Het Nationaal
Cyber Security Centrum (NCSC) stimuleert de komst van keurmerken die bijdragen aan de kwaliteit van de markt
in producten en diensten voor cybersecurity. De overheid ziet voor zichzelf ook een voorbeeldfunctie als het
gaat om de inkoop van gecertificeerde diensten. We zijn als belangenvereniging met de overheid in gesprek om
te verkennen hoe de overheid zelf ook kan bijdragen aan het gebruik van het keurmerk, door het goede
voorbeeld te geven." Cyberveilig Nederland signaleert ook een toenemende belangstelling voor keurmerken in
de internationale wet- en regelgeving. "Het TIBER-NL programma van Nederlandse banken is een Europese
standaard voor red teaming geworden. Zoiets zou voor pentesten ook kunnen gebeuren, nu hier als eerste land
in de Europese Unie een onafhankelijk keurmerk voor pentesten is."
Networking4All verwacht sowieso een zonnige toekomst voor het keurmerk voor pentesten. Alting: "Hoe meer
cybersecuritybedrijven gecertificeerd zijn, hoe beter. Je verbetert er als organisatie je werkwijze mee. En
naarmate opdrachtgevers meer weten over het bestaan en de inhoud van het keurmerk zal de aandacht ervoor
ook verder toenemen. Zo zal uiteindelijk de kwaliteit van pentesten steeds meer verbeteren. En daar doen we
het toch allemaal voor."
Certificatie-instellingen DEKRA en Kiwa
Cybersecuritybedrijven die inschatten te voldoen aan het
CCV-Certificatieschema Cybersecurity Pentesten
kunnen bij certificatie-instelling DEKRA of Kiwa terecht voor een audit. Wanneer de audit met succes wordt
doorlopen reikt de certificatie-instelling het certificaat Cybersecurity Pentesten uit. Er vindt jaarlijks een
beoordeling uit om te controleren of nog steeds wordt voldaan aan de kwaliteitseisen van het keurmerk.
Cybersecuritybedrijven die werken met het CCV-keurmerk Pentesten zijn zichtbaar via
https://hetccv.nl/keurmerken/zakelijk/digitale-veiligheid/ccv-keurmerk-pentesten/v…. Heb je vragen over
het keurmerk? Bekijk dan de veelgestelde vragen:
https://hetccv.nl/keurmerken/expert/keurmerk-pentesten/veelgestelde-vragen/.