Misschien moet ik beginnen met het stellen van de vraag: wat is pentesten? Want voor veel mensen zal dit wellicht een onbekende term zijn. Pentesten (of voluit penetration testen) is het testen van software of hardware op kwetsbaarheden. Een pentest richt zich dus op vinden van problemen en die te documenteren. Zo weet je als organisatie waar er eventueel problemen kunnen ontstaan, hoe je dit kunt mitigeren en wat de impact is als zo’n kwetsbaarheid wordt uitgebuit. We hebben het dan ook wel over een “ethische hack”.

Stel je eens voor: je hebt een stuk maatwerk software gemaakt. Bijvoorbeeld een administratiepakket. Je wilt hier je geld mee verdienen als bedrijf en levert dit dus aan verschillende klanten. Naast de functionaliteit die de software heeft en waar klanten voor betalen wil je je gemaakte software ook verbeteren. De software verzamelt daarom allerlei gegevens. Bijvoorbeeld over hoe de software gebruikt wordt (welke schermen worden het meest aangesproken, op welke knop wordt vaak geklikt en welk scherm zien de gebruikers als eerste). Daarnaast slaat de software natuurlijk ook gewoon de functionele gegevens op zodat jouw klant er mee kan werken. Denk aan de inloggegevens, namen, adressen, afbeeldingen, scans van documenten, etc. etc. Alles wat nodig is om van dag tot dag te kunnen werken.

Succes

Je software is een succes: iedere accountant koopt het en de wensenlijst groeit. Je gaat dus nog maar data opslaan. Notitievelden worden toegevoegd en er worden misschien wel koppelingen gemaakt naar andere software zodat data overdracht mogelijk is. Absoluut fantastisch. Het is een succes.

Je pakket is natuurlijk zo ingericht dat het kan voldoen aan de privacywet AVG. Dus op het moment dat er een vraag komt van een betrokkene (jouw klant of de eindklant, de klant van jouw klant) kun je zonder al te veel problemen tonen welke data er allemaal wordt verwerkt. Tot zo ver geen problemen.

Maar hoe weet je nu eigenlijk of alles wel veilig wordt opgeslagen? Of dat klanten niet zo maar bij elkaar kunnen kijken door parameters te veranderen? Heb je nagedacht over rechten? Wordt data versleuteld verstuurd tussen de klant en de server? En hoe zit het met de koppelingen naar andere pakketten? Is dat allemaal wel veilig?

Pentesten

Een fout is zo gemaakt en kan desastreuze gevolgen hebben. Bedenk maar eens welke gevolgen het heeft wanneer de data die buiten de deur ligt heeft voor jou als organisatie. Imagoschade? Een claim? Boetes? Daarom is pentesten zo belangrijk geworden. Er kan een test worden gedaan op beveiliging van de software om zo aan te tonen waar problemen liggen. Zo kunnen deze kwetsbaarheden eerder aan licht komen voordat ze uitgebuit worden door een kwaadwillende hacker. Meer weten of een pentest? Neem dan zeker contact op.