Waarom zou je gaan pentesten juist nu dat de Algemene verordening gegevensbescherming (AVG) alweer bijna twee jaar van kracht is? Laat ik een stap terugdoen: wat is pentesten? Voor veel mensen is dit een onbekende term. Pentesten (voluit: penetratietest) is volgens Wikipedia “een toets van een of meer computersystemen op kwetsbaarheden, waarbij deze kwetsbaarheden ook werkelijk gebruikt worden om in deze systemen in te breken”. Een pentest richt zich dus op het vinden van problemen en het documenteren daarvan. Zo weet je als organisatie waar eventueel problemen kunnen ontstaan, hoe je deze kunt mitigeren en wat de impact is als een kwetsbaarheid wordt uitgebuit. We hebben het dan ook wel over een ‘ethische hack’.
Stel je eens voor: je hebt maatwerk software ontwikkeld, zoals een administratiepakket. Je wilt hier als bedrijf je geld mee verdienen en levert dit dus aan verschillende klanten. Naast het aanbieden van functionaliteit van de software wil je de gemaakte software ook verbeteren. De software verzamelt daarom allerlei gegevens, bijvoorbeeld over hoe de software gebruikt wordt: welke schermen worden het meest aangesproken, op welke knop wordt vaak geklikt en welk scherm zien de gebruikers als eerste? Daarnaast slaat de software natuurlijk ook gewoon de functionele gegevens op. Denk hierbij aan inloggegevens, namen, adressen, afbeeldingen, scans van documenten; alles wat nodig is om van dag tot dag te kunnen werken, maar mogelijkerwijs ook privacygevoelige gegevens.
Je software is een succes: iedere accountant koopt het en de wensenlijst qua functionaliteiten groeit. Je gaat dus nog meer data opslaan. Notitievelden worden toegevoegd en er worden misschien wel koppelingen gemaakt naar andere software zodat de overdracht van data mogelijk wordt.
Je pakket is natuurlijk zo ingericht dat het kan voldoen aan de AVG. Op het moment dat er dus een vraag binnenkomt van een betrokkene (jouw klant of de klant van jouw klant), kun je zonder al te veel problemen aantonen welke data allemaal worden verwerkt.
Maar hoe weet je zeker dat alles wel veilig wordt opgeslagen, of dat klanten niet zomaar bij elkaar kunnen kijken door parameters te veranderen? Heb je nagedacht over het correct toewijzen van rechten? Worden data versleuteld verstuurd tussen de klant en de server? En hoe zit het met de koppelingen naar andere software?
Een fout is zo gemaakt en kan desastreuze gevolgen hebben. Imagoschade? Een claim? Boetes? Daarom is pentesten zo belangrijk geworden, juist ook nu de AVG van kracht is. Hoe eerder kwetsbaarheden aan het licht komen, hoe kleiner de kans dat ze worden uitgebuit door kwaadwillenden. Zo voorkom je dat privacygevoelige gegevens van klanten op straat komen te liggen.
Jochen den Ouden is de docent van de cursus Mindset van een hacker die op 9 maart 2020 plaatsvindt in Utrecht.
Elke dag horen we in het nieuws over cyberaanvallen, hackers en datalekken. Maar hoe werkt een hacker nu eigenlijk? Hoe kunt u uzelf en uw organisatie wapenen tegen deze vorm van criminaliteit? Dat doet u door te denken en te werken als een hacker.
De cursist krijg naast een hogere bewustwording omtrent cybersecurity inzicht in welke zes stappen een hacker neemt om data te verkrijgen.
Meer informatie over de cursus Mindset van een hacker
Dit artikel is ook te vinden in het dossier Informatiebeveiliging
