CCV introduceert keurmerk Pentesten

Dit artikel delen:
penetration test

Het Centrum voor Criminaliteitspreventie en Veiligheid (CCV) introduceert het keurmerk Pentesten. Met dit keurmerk is Nederland het eerste land in Europa dat cybersecuritydiensten de mogelijkheid geeft hun kwaliteit aan te tonen met een label. De kwaliteit van geleverde diensten wordt getoetst door onafhankelijke certificeringsinstellingen.

De lancering van het keurmerk moet de spelregels voor de markt duidelijk maken. Naar verwachting zijn in juli de eerste cybersecuritydiensten op kwaliteit te controleren. 

Het keurmerk Pentesten is tot stand gekomen dankzij de samenwerking van een grote groep partijen. Betrokken zijn de politie, het Verbond van Verzekeraars, VNO-NCW, MKB Nederland, CIO Platform, Cyberveilig Nederland, NLdigital, Digital Trust Center en Online Trust Coalitie. Ook ministeries keken mee. 

Bedrijven krijgen steeds meer te maken met cyberdreigingen, zoals ransomware-aanvallen en datalekken.  De roep om betrouwbare pentesten wordt dan ook groter. Bij een pentest kruipen onderzoekers in de huid van een hacker. Ze proberen op allerlei manieren  kwetsbaarheden op te sporen door dezelfde methodes te gebruiken als cybercriminelen of cyberspionnen.

Onlangs bleek hoe fout het kan gaan als opdrachtgevers blindelings vertrouwen op pentesten en daar te veel conclusies aan verbinden. De Gemeente Hof van Twente werd de dupe van een ransomware-aanval terwijl een eerdere pentest van Sogeti de indruk had gewekt dat er geen dreigende problemen waren en dat de gemeente de beveiliging redelijk op orde had. Het was Sogeti bijvoorbeeld niet opgevallen dat de ftp-server bij de Twentse gemeente wagenwijd openstond. Ook was verzuimd te rapporteren dat het gemeentelijke netwerk geen segmentatie kende. Volgens een kritisch rapport van onderzoeker Brenno de Winter rammelde de rapportage van Sogeti ook methodologisch aan alle kanten.   

Check

Onafhankelijk toezicht op de kwaliteit van pentestdiensten is een belangrijke stap in de strijd tegen cybercriminelen. Petra Oldengarm, directeur van de belangenvereniging Cyberveilig Nederland, is blij met de toetsing. ‘De cybersecuritysector is volop in ontwikkeling. Bijna dagelijks starten nieuwe bedrijven en initiatieven, zonder dat er een check op kwaliteit is. Gezien de digitale kwetsbaarheid van ondernemingen is dat ongewenst. Afnemers krijgen met dit keurmerk duidelijkheid over de kwaliteit van pentesten', aldus Oldengarm. Zij kondigt aan dat er ook keurmerken voor andere soorten cybersecuritydiensten komen. 

Het Certificatieschema Pentesten is hier beschikbaar. Het schema is gebaseerd op NEN-EN-ISO/IEC 17065. Rond de zomer zal naar verwachting de eerste aanbieder van pentesten het certificaat Pentesten ontvangen.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Het is goed dat dit certificaat er komt. Ik denk alleen niet dat klanten dit certificaat accepteren als ze lezen wat er vereist wordt: 4.5.2 vereist dat de certificeringsinstelling (CCV) de uitvoering en de rapportages steeksproefsgewijs controleert. Dit houdt in dat het rapport zeer waarschijnlijk heel bedrijfsgevoelige informatie bij een ongerelateerde derde terecht komt. Welke klant zou zo iets accepteren? Welk bedrijf zou accepteren dat klanten weglopen door deze certificering? Het grootste deel van de certificering kan ik alleen maar toejuichen maar die controles (hoewel begrijpelijk want hoe anders kan het CCV controleren of de certificaathouder goed werkt) maken het onwerkbaar.

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2021-04-07T09:59:00.000Z Alfred Monterie
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.