Menu
Sluiten

Over CWB

Hulp bij

Nieuws
Contact
Platform
Naar Brainport Eindhoven
Nederlands -
Cyber Weerbaarheidscentrum BrainportHulp bij cyberdreigingenEen pentest uitvoeren in de hightech – en maakindustrie - CWB

Hoe een pentest bijdraagt aan een betere cyberweerbaarheid

Snelle navigatie

Hoe een pentest bijdraagt aan een betere cyberweerbaarheid Wat is een pentest? Wat doet een pentest? Hoe verloopt een pentest? Verschillende soorten pentests Waarom zou ik een pentest laten uitvoeren? De inzichten en conclusies uit een pentest Je cyberweerbaarheid structureel verbeteren

In de hightech- en maakindustrie draait alles om innovatie, precisie en samenwerking. Maar waar kennis en technologie goud waard zijn, ligt ook het gevaar op de loer: cybercriminelen zoeken voortdurend naar zwakke plekken in bedrijfsnetwerken. Een pentest – voluit penetratietest genaamd – helpt om die kwetsbaarheden in kaart te brengen, vóórdat anderen er misbruik van maken. Zo werk je gericht aan een weerbare organisatie.

Wat is een pentest (of penetratietest)?

Een pentest is een gesimuleerde cyberaanval op je eigen IT-omgeving, uitgevoerd door ethische hackers. Dat zijn experts die, met toestemming van de organisatie, proberen kwetsbaarheden op te sporen zodat deze verholpen kunnen worden voordat kwaadwillenden ze misbruiken. Denk aan zwakke wachtwoorden, achterstallige updates of verkeerde configuraties. Anders dan bij een standaard beveiligingsscan proberen de testers actief in te breken, net als echte aanvallers. Om zo te ontdekken hoe ver ze kunnen komen.
Deze aanpak geeft niet alleen inzicht in de technische staat van je beveiliging, maar ook in processen en menselijk gedrag.

Wat doet een pentest?

Tijdens een pentest wordt de digitale weerbaarheid van je organisatie op de proef gesteld. Denk aan:

  • Het testen van netwerken, applicaties en systemen op kwetsbaarheden;
  • Het controleren van rechten en toegangen;
  • Het simuleren van een cyberaanval om zwakke punten in de verdediging  te ontdekken.

De resultaten tonen waar je risico’s loopt. Vergelijk het met een brandveiligheidscontrole: liever nú ontdekken waar het mis kan gaan, dan wachten tot het echt fout gaat.

Hoe verloopt een pentest stap voor stap?

Een pentest bestaat uit meerdere fasen, afhankelijk van de gemaakte afspraken:

1.    Intake & scopebepaling

Samen bepaal je wat getest wordt: alleen je website? Het interne netwerk? Medewerkersgedrag? Daarbij horen een geheimhoudingsverklaring en vrijwaringsverklaring. Bovendien worden afspraken gemaakt over de planning, zodat relevant personeel standby kan staan tijdens de uitvoering van de pentest.

2.    Informatieverzameling

Testers, ook wel ethische hackers of white hat hackers genoemd, verzamelen en analyseren publiek beschikbare informatie die gebruikt kan worden in een aanval. Ze raadplegen openbare bronnen waarvoor geen speciale bevoegdheid of toestemming nodig is. 

3.    Actieve testfase

Via verschillende methoden proberen ethisch hackers kwetsbaarheden te vinden en uit te buiten.

4.    Rapportage & evaluatie

Binnen de afgesproken termijn ontvang je een rapport met bevindingen, risico’s én concrete aanbevelingen. Je ziet in één oogopslag welke risico's het grootst zijn, welke middelmatig en welke een lage prioriteit hebben.

5.    Opvolging & nazorg

Op grond van de rapportage vertaal je de uitkomsten naar verbetermaatregelen en de termijn waarin deze doorgevoerd worden. Belangrijk is in ieder geval dat het rapport niet in een la belandt, dus bepaal vooraf wie verantwoordelijk is voor de opvolging. 
Afhankelijk van de omvang varieert de doorlooptijd van een pentest. Een eenvoudige pentest duurt inclusief rapportage doorgaans 1 tot 2 weken ; uitgebreide trajecten kunnen enkele weken tot maanden in beslag nemen.

Verschillende soorten pentests

Er bestaan verschillende soorten pentests, die ook allemaal een eigen doel en werkwijze hebben. Dit zijn een aantal voorbeelden van deze verschillende soorten pentests:

  • Externe pentest: gericht op de systemen die vanaf het internet bereikbaar zijn;
  • Interne pentest: er wordt getest wat er gebeurt als een aanvaller al binnen het netwerk is;
  • Applicatiepentest: de focus ligt op webapplicaties en software;
  • Red teaming: een gesimuleerde cyberaanval om zwakke punten in de verdediging op te sporen.

Waarom zou ik een pentest laten uitvoeren?

In de hightech- en maakindustrie zijn intellectueel eigendom en vertrouwelijke klantgegevens ontzettend belangrijk. Een digitale inbraak kan leiden tot dataverlies, verzwakking van de concurrentiepositie, productieverlies, inkomstenderving en/of juridische gevolgen. Een pentest toont aan waar je risico’s liggen, voordat cybercriminelen die ontdekken.

Een praktijkvoorbeeld: bij een toeleverancier in de machinebouw bleek uit een pentest dat medewerkers op verouderde software werkten. Na deze ontdekking werd het systeem alsnog geüpdatet en werd een cyberaanval langs deze route voorkomen.

Een andere reden kan zijn dat klanten of ketenpartners een objectieve pentest zien als kwaliteitsborging. Het toont in ieder geval aan dat er aandacht is voor cyberveiligheid, wat de samenwerking ten goede komt.

De inzichten en conclusies uit een pentest

Een pentest doe je natuurlijk voor het resultaat zodat je weet waar verbeteringen mogelijk izjn. Na afloop ontvang je dus een uitgebreid rapport met:

  • Gevonden kwetsbaarheden (gerangschikt op ernst: hoog, gemiddeld of laag risico);
  • Verbeteradviezen;
  • Inzicht in je algehele cyberweerbaarheid.

Zo’n rapport is beslist geen ‘afrekening’, maar een spiegel: het laat zien waar je staat en waar verbetering nodig is. Veel bedrijven gebruiken een pentest ook om hun beleid richting directie of klanten te onderbouwen.

Let daarbij op: een pentest is een momentopname. Andere kwetsbaarheden kunnen alsnog aan het licht komen, nieuwe software wordt geïnstalleerd of aanvallers gebruiken nieuwe technieken. Daarom is herhaling wenselijk, bijvoorbeeld jaarlijks of na grote wijzigingen in je software of beleid. Een ander advies is om regelmatig van pentester te wisselen; iedere partij hanteert een eigen aanpak wat andere inzichten kan opleveren.

Je cyberweerbaarheid structureel verbeteren

Na een pentest kun je gericht aan de slag met de inzichten in de documentatie en rapportage:

  • Kwetsbaarheden oplossen;
  • Software updaten of vervangen;
  • Toegangsrechten herzien;
  • Medewerkers trainen in cyberbewustzijn;
  • Structurele beveiligingsmaatregelen vastleggen en naleven.

Een pentest is dus geen eindpunt, maar het begin van structurele verbetering. Cyberweerbaarheid is een continu proces – weten waar zwakke plekken zitten, is daarin een kracht.

Daarbij is het verstandig om afspraken over pentesten op te nemen in overeenkomsten met je eigen softwareleveranciers. Mag je als klant opdracht geven voor zo’n test op een product van een leverancier? Of zorgt de leverancier daar zelf voor en legt de partij daarna verantwoording af aan de afnemer(s)?

Hoe kan het CWB helpen?

Het Cyber Weerbaarheidscentrum Brainport helpt bedrijven in de hightech- en maakindustrie bij het organiseren van een pentest. Zo vinden leden op een besloten portaal nog veel meer informatie over pentesten, zoals best practices. Enkele voorbeelden daarvan zijn: 

  • Top 8 overwegingen bij het kiezen van een pentestpartner;
  • Goedkopere manieren om vaker kwetsbaarheidsscans en pentesten uit te voeren;
  • Hoe zorg je dat een externe pentest succesvol is en kwaliteit levert;
  • De waarde van een vrijwaringsverklaring voor het uitvoeren van een penetratietest;
  • Pentesten in de praktijk – ervaringen van het CWB.

Wie dat wil, brengen we in contact met betrouwbare, gecertificeerde partners én we ondersteunen je bij het vertalen van bevindingen naar concrete acties. Want onze community bestaat uit organisaties met dezelfde uitdagingen. Samen vergroten we de weerbaarheid van de hele keten.

Wil je meer weten? Neem dan gerust contact op met Lisette Oosterbosch (Stuur een e-mail of bel: 06-83111210 op ma.di.do) of Nannie van Bijsterveldt (Stuur een e-mail of bel: 06-15904539 op ma.wo.do). Meer informatie over het lidmaatschap en de kosten vindt u hier.

Beveilig je bedrijf en je data!

Een pentest laat zien hoe je omgaat met digitale dreigingen. Daarmee investeer je in veiligheid, maar ook in vertrouwen – van klanten, partners én medewerkers. Laat je niet verrassen door cybercriminelen, maar neem zelf de regie. Wie nu test, voorkomt problemen later.

Meer 'Hulp bij'

Phishing Ransomware Cyberbeveiligingswet NIS2 Richtlijn
Ontdek wat het CWB doet