Pentest
Een pentest (afkorting van penetratietest) is een test waarbij ethical hackers de weerbaarheid van de systemen van bedrijven en overheidsinstellingen testen. Het doel is om zwakke plekken bij bedrijven te ontdekken door dezelfde methodes te gebruiken als cybercriminelen. Op deze manier kunnen onderzoekers de zwakke plekken van een website, applicatie of gehele IT-infrastructuur vinden. Na het uitvoeren van een pentest, kunnen bedrijven en overheidsinstellingen gerichte maatregelen nemen om de gevonden kwetsbaarheden weg te werken en op deze manier zichzelf tegen een daadwerkelijke aanval of datalek beschermen.
Er zijn drie soorten pentesten: een Black Box pentest, Grey Box pentest en een White Box pentest. Een Black Box pentest lijkt het meest op een echte aanval van hackers. Hierbij wordt door de opdrachtgever geen enkele informatie vooraf aan de pentest gegeven over de IT-infrastructuur. Bij een Grey Box pentest geeft het bedrijf of overheidsinstelling vooraf aan de pentest beperkte informatie aan de ethical hacker over de IT-infrastructuur, zoals een klant-/medewerkersaccount. In het geval van een White Box pentest wordt vooraf alle informatie aan de hacker gegeven om gericht op zoek te kunnen gaan naar kwetsbaarheden in het bedrijf.
Keurmerk
Het Centrum voor Criminaliteitspreventie en Veiligheid (CCV) ontwikkelde het keurmerk Pentesten omdat onafhankelijk toezicht op de kwaliteit van pentesten van groot belang is in de strijd tegen cybercriminaliteit. De aanpak van cybercriminaliteit is overduidelijk noodzakelijk, daar is iedereen het over eens. Overheid en private partijen moeten er op kunnen vertrouwen dat de pentesten een goede kwaliteit hebben en dat ze door deskundigen worden uitgevoerd. Dienstcertificatie van pentesten maakt dit mogelijk.
Certificeren
Het certificeren van pentesten heeft als doel om de kosten voor bedrijven en overheidsorganisaties, die kunnen optreden indien de kwaliteit van de uitgevoerde pentest niet goed is, te verminderen. Door certificatie kunnen organisaties erop vertrouwen dat de geleverde pentest voldoet aan de vooraf gestelde eisen. Het CCV publiceerde op 1 april het Certificatieschema Pentesten.
In het certificatieschema zijn eisen opgenomen waaraan pentesten moeten voldoen en voorwaarden voor de organisatie die de pentest levert voor het verkrijgen en het in stand houden van het dienstcertificaat. Een organisatie kan in aanmerking komen voor het CCV-Certificatieschema Pentesten, indien de organisatie aan de eisen van het CCV-Certificatieschema Pentesten voldoet. De eisen zijn geen wettelijke eisen, maar dienen als garantie voor bedrijven en overheidsinstellingen die een pentest willen uitvoeren, dat de cybersecurity-organisatie een goede kwaliteit heeft en volgens actuele standaarden werkt.