Elke organisatie is te hacken, dus dan kun je dat maar het beste zelf laten doen. Dat noemen we een penetratie test, ofwel pentest: experts in opdracht digitaal bij je laten inbreken om zo kwetsbaarheden op te sporen zodat je die kunt fixen. Dat kan variëren van een simpele scan naar verouderde software en poorten die openstaan tot en met een omvangrijke gesimuleerde aanval van een heel team met geavanceerde skills en tools.
Bij Hack Talk hebben we regelmatig pen tests gedaan vanuit de hackers community. Deze avond lieten we cyber security bedrijven aan het woord. Hoe gaat zo’n pentest in zijn werk? Hoe ver mogen hackers gaan? Wat is een goede test en wat niet? En wanneer ben je nu echt lek? We spraken hierover met leden van de net opgerichte brancheorganisatie Cyberveilig Nederland. Zij pleiten namelijk voor kwaliteitsnormen voor pen tests. We spraken daarom ook enkele niet-leden over wat zij daar dan van vinden.
Foto: @wido_
Ons eerste item is tegelijk een vervolg op onze vorige aflevering over OSINT, Open Source Intelligence. Dat doen we met Martin Knobloch van OWASP, het Open Web Application Security Project. Martin is van oorsprong softwareontwikkelaar, heeft gewerkt bij Nixu en Sogetti en zit nu bij Xebia. Daar is hij Storyteler, een mooie beroepstitel voor zo’n veelzijdig iemand. Bij OWASP begon hij 11 jaar geleden als Chapter Leader Nederland. Nu is hij de voorzitter van dit wereldwijde netwerk van actieve vrijwilligers.
Hoe werkt zoiets? OWASP heeft zeven bestuurders en 10.000 actieve leden, waarvan 4.000 elk 50 Euro per jaar betalen om de boel draaiende te houden. Grofweg de ene helft heeft een security achtergrond en de andere helft is ontwikkelaar. Ze zijn georganiseerd in chapters. Zo is er een Nederlands chapter, maar je zou er ook een voor Rotterdam kunnen oprichten als je wilt. Iedereen kan een plan indienen, zelfs niet-leden. Als je genoeg mensen meekrijgt, heb je een leuk project.
OWASP is onder hackers vooral bekend van de OWASP Top 10 van “Most Critical Web Application Security Risks”. Laten we de top 10 even opsommen: 1=”Injection”, 2=”Broken Authentication”, 3=”Sensitive Data Exposure”, 4=”XML External Entities (XXE)”, 5=”Broken Access Control”, 6=”Security Misconfiguration”, 7=”Cross-Site Scripting (XSS)”, 8=”Insecure Deserialization”, 9=”Using Components with Known Vulnerabilities”, 10=”Insufficient Logging & Monitoring”. Deze Top 10 helpt softwareontwikkelaars tijdens het programmeren veiligheidsrisico’s voortijdig te herkennen en tegen te gaan. Hackers keren dat om: zij scannen op de top tien om kwetsbaarheden te vinden.
Voor Martin is de Top 10 zowel een zegen als een vloek. Hij is blij met de bekendheid en dat de lijst helpt veiliger software te ontwikkelen, maar het is geen checklist die je afloopt en dat je dan helemaal veilig bent. “Het is meer bedoeld voor ontwikkelaars, zodat ze aan hun collega’s uit kunnen leggen waar risico’s kunnen zitten en waar de prioriteiten moeten liggen. Eigenlijk is het niet eens een Top 10: nummer 1 is niet gevaarlijker dan 10 ofzo, dat hangt helemaal af van waar de software voor wordt gebruikt. Dus als iemand zegt: ‘Wij testen op OWASP top 10’, dan zegt dat nog niets. Of wie is hier OWASP-complient? Niemand, toch?”
Of moet een pentester dan juist niet naar de Top 10 kijken, om datgene te vinden dat de ontwikkelaars over het hoofd hebben gezien? Martin: “Geen van beide, een pentester moet aanvallen vanuit de businesslogica, dat is zijn toegevoegde waarde. Er wordt ook wel eens gezegd dat de top 10 kwaadwillenden zou helpen kwetsbaarheden te vinden, maar wat dat betreft is het net een zakmes: je kunt er goede en slechte dingen mee doen. Een goede pentester zoekt ook niet alleen naar kwetsbaarheden, maar moet ook laten zien hoe je die oplost.” En daar is OWASP zeker behulpzaam bij, want alles is open source en gratis. Dankzij Martin en zijn 10.000 vrijwilligers.
Foto: @JanMartijn
Petra Oldengarm is directeur van Cyberveilig Nederland, de nieuwe brancheorganisatie voor cyber security bedrijven. Zelf zit ze al 20 jaar in de sector. Hiervoor werkte ze drie jaar bij Hoffmann Bedrijfsrecherche, waar ze directeur cyber security was en lid van het managementteam. Daarvoor heeft ze gewerkt bij ECN, BZK en KPN Research. Haar eigen bedrijf heet Brainpower42. Cyberveilig Nederland is vorig jaar opgericht door acht cyber security bedrijven. Petra werd gevraagd als directeur en runt de branche organisatie samen met Liesbeth Holterman.
Om haar nieuwe club op deze avond leuk neer te zetten, hebben we een animatie gemaakt met 88 dansende bedrijfslogo’s. De acht van de founding partners Zerocopter, Motiv, Northwave, Fox-IT, Guardian360, Computest, Hoffmann en Q-sight zien we in het bekende Hack Talk geel. Daaromheen een grote wolk van 80 blauwe logo’s van de bedrijven die nog geen lid zijn – om een beetje te plagen. Maar Petra zelf is er juist wel blij mee. “Niemand weet namelijk welke cyber security bedrijven er nu allemaal zijn en dan geeft deze animatie al een mooi overzicht. Cyberveilig NL is nieuw, de statuten zijn nog maar net rond en de aanmeldingsprocedure is zojuist gestart. Die blauwe logo’s zijn dus allemaal potentiele leden”, aldus Petra.
Elke zichzelf respecterende sector heeft een brancheorganisatie om het kaf van koren te scheiden, dus nu ook de cyber security. Petra ziet dat er veel angst is om gehackt te worden en er veel nieuwe bedrijven zijn die daarop inspelen. Welke wil ze dan niet als lid? “De zogenaamde cowboys die verschijnen maar nog onvoldoende kwaliteit leveren. Verder moeten ze wel in Nederland gevestigd zijn en diensten leveren aan Nederlandse bedrijven, dus geen brievenbusfirma’s. Er komt ook een Code of Conduct: leden moeten hun diensten professioneel aanbieden, hun personeel trainen en Responsible Disclosure beleid ondersteunen. En de bestaande normen hanteren zoals ISO 270001, ISO 9001 en de AVG – maar dat spreekt voor zich. Verder zal Cyberveilig NL bijdragen aan kennisdeling in de sector, bijvoorbeeld op gebied van dreigingsinformatie delen en input geven op cybersecuritydossiers aan de overheid.”
Dan de hoofdvraag van deze avond: wanneer ben je lek? Oftewel, wat is volgens Cyberveilig NL een goede pentest? Petra: “Als opdrachtgevers vragen om offertes, zullen ze zien dat de één een pentest doet voor 1.000 Euro terwijl de ander pas bij 10.000 begint. Je moet je dan afvragen: ‘Krijg ik alleen een kwetsbaarheden scan en een rapportje, of gaat er een hacker aan de slag en worden de resultaten in de context van onze organisatie geplaatst en krijg je ondersteuning bij het oplossen van kwetsbaarheden?’ Maar ook: ‘Hoe diep test je?’ Alleen de webapplicaties, of ook intern? Test je black box, dus van buitenaf, white box, met volledig inzicht in de code, of grey box, daar tussenin?”
Volgens Petra kun je een goede pentest niet aflezen aan het aantal uren inzet, maar moet je vooral kijken naar de toegevoegde waarde voor een organisatie in relatie tot het risicomanagement. Om klanten verder te helpen door de markt transparanter te maken, gaat Cyberveilig NL ook kwaliteitscriteria ontwikkelen voor bijvoorbeeld Security Operation Centers en Security Incident and Event Management. Zo helpt Cyberveilig NL op hun manier organisaties die willen weten: ben ik nou lek of niet? En of wij van Hack Talk CVN daarbij helpen, vertelt ze aan het eind als ze nog even terugkomt. Eerst drie andere founding partners van Cyberveilig NL aan het woord.
Foto: @petraoldengarm
Jan Martijn Broekhof is CEO van Guardian360, Christiaan Ottow de CTO van Computest en Edwin van Andel is CEO van Zerocopter en vaste gast bij Hack Talk. De drie lange heren staan als Cyberveilig NL leden gebroederlijk naast elkaar, maar zijn hun bedrijven niet gewoon keiharde concurrenten van elkaar? Nee, ze bedienen elk een ander deel van de markt omdat ze andere diensten aanbieden, ze zijn in wezen complementair.
Zerocopter helpt bedrijven die hackers willen uitnodigen hun IT te testen door middels van bug bounty programma’s. Dat is dus wat anders dan scannen en pentesten, want dat doe je volgens Edwin vooral binnen een afgebakende tijd en scope. Een bug bounty programma is eigenlijk next level: je laat hackers continu zoeken naar gaten en ze worden pas betaald als ze wat vinden. Edwin heeft wereldwijd 1500 hackers op zijn wachtlijst staan, waarvan er inmiddels 200 zijn getest en goed bevonden om in het programma mee te doen. Komt er een klant die nog niet eens een pentest heeft gedaan, dan stuurt hij die weer weg: ga eerst maar even scannen en doe een goede pentest. Pas dan laat hij zijn hackers op je los.
Guardian360 is juist meer van het continu monitoren van je IT-infrastructuur. Ze hebben voor hun klanten meerdere scanners gebundeld die kwetsbaarheden in netwerken en webapplicaties detecteren. Mocht er toch iemand binnenkomen, dan krijgt de klant meteen een signaal van hun detectiemiddel in de vorm van een kanarie. Jan Martijn: “Uiteindelijk zijn we een softwarehuis en willen we pentesten overbodig maken door continu naar zwakke plekken te zoeken: in applicaties, maar ook bij mensen. Veel handelingen daarin kun je automatiseren, zoals kwetsbaarheden en configuratiefouten. Maar nog niet alles is geautomatiseerd te vinden, denk aan logische en ontwerpfouten in webapplicaties. Daarom voeren onze security engineers pentests uit om ons platform krachtiger te maken. Standaard pentests besteden we uit aan geselecteerde partners.”
Hij krijgt meteen een reactie uit het publiek: “Hoe weet je dan dat jullie eigen platform niet gehackt is en daardoor geen signaal geeft.” Jan Martijn: “Dat is zeker een grote zorg van ons. We houden er rekening mee dat zoiets ooit een keer gebeurt. We zorgen daarom dat de kans op een incident minimaal is door bijvoorbeeld hardening, goede versleuteling en segmentatie.” Zo kan een eventuele besmetting van een systeem niet overslaan naar een ander systeem. Na de scans wissen ze zoveel mogelijk gevoelige data en bewaren ze alleen het hoogstnoodzakelijke. Jan Martijn: “Wat je niet hebt kun je ook niet kwijtraken.”
Computest richt zich vooral op het breder testen van websites, dus naast de veiligheid, ook de functionaliteit en of alles goed en snel werkt. Christiaan doet dat met maar liefst 110 collega’s: functioneel testers, softwareontwikkelaars en natuurlijk hackers. Die vinden het overigens ook leuk om af en toe buiten het werk wat pentest projecten op te pakken. Laatst waren ze nog op het NOS-journaal, omdat ze het navigatiesysteem van een Volkswagen hadden gehackt via lekken in het entertainmentsysteem. Christiaan: “Eigenlijk wilden we ook het gaspedaal kunnen bedienen, maar dat is duidelijk illegaal. We wilden nog wel met onze bevindingen naar Volkswagen kunnen en dan heb je wel een miljardenbedrijf tegenover je...”
Dat is dus het ongevraagde vrijwilligerswerk, dat veel hackers doen onder Responsible Disclosure. Terug naar het commerciële werk: wat is een goede pentest? Jan Martijn: “Daar gaat een vraag aan vooraf, namelijk: ‘Waarom wil je een pentest?’ Is het alleen om een vinkje te halen, zoals Martin zei: ‘We zijn OWASP-compliant’? Dat gebeurt helaas nog te vaak. Of zijn ze gealarmeerd omdat ze ongevraagd een vulnerability scan over zich heen hebben gekregen?” Edwin: “Als je een klant hebt die nog niks weet, moet je met een basis beginnen: eerst scannen en dan inventariseren wat je getest wilt hebben. Je kunt niet in een keer alles doen.”
Hoe bepaal je de kwaliteit van de pentesters? Volgens de heren draait dat vooral om de reputatie van de hackers. Er zijn wel certificaten in omloop, maar veel daarvan zeggen niet zoveel. Het zijn soms gewoon vragenlijsten die je moet invullen om vinkjes te halen. Over OSCP, het Offensive Security Certified Professional label zijn ze wel positief. Maar Offensive Security leveret zelf Kali Linux, met 300 hacking tools, dus is dat certificaat niet gewoon een examen of je hun product goed weet te gebruiken? Christiaan: “Nee, je moet wel echt een omgeving zien te hacken en inzicht geven in je werkwijze en dan beoordelen zij of je de juiste skills set en mindset hebt.”
Kun je goeie hackers ook wel zien als kunstenaars, die anders naar de werkelijkheid kijken en daardoor net dat ene ontdekken dat anderen niet zien? Edwin: “Ja, dat zien we op ons platform. Dan is het even stil en ineens hebben ze het en gaan ze helemaal los. Er zitten ook jongens bij die nog nooit een boom van dichtbij hebben gezien. Het gaat hen niet om geld maar vooral ook om hun plek op de ranglijst. Het zijn mensen die een sterke drive hebben, veel uren hebben gemaakt omdat ze een kick krijgen uit het doorgronden hoe iets werkt.”
Hoe komen ze aan goede pentesters? Er is immers een schijnend tekort. Volgens Jan Martijn kun je naamsbekendheid krijgen in de hacker scene door met sponsoring het juiste signaal te geven. Zo heeft Guardian360 het jaarlijkse Hacker Hotel gesponsord en de elektronische badge tijdens het hackerskamp SHA2017. Ze nemen ook stagiaires aan via de Cyberwerkplaats, waarvan er ook een in dienst trad. Edwin moet het vooral hebben van directe contacten met hackers die hij ontmoet op reis, tijdens hackerevents als Defcon, of laatst ook Nulcon India. De bughunters die op hun platform werken kunnen dat immers vanaf elke locatie in de wereld en wanner ze willen. Dat sluit ook aan bij hun levenswijze.
Hackers zijn ook niet te motiveren met geld of status, ze doen het vooral om de uitdaging. Een typisch hacker cv: nauwelijks diploma’s, enkele maanden hier of daar bij een security bedrijf, eigen bedrijf opgezet, falliet, ander bedrijf, etc. Daarin is Computest wel een uitzondering. Ze hebben veel mensen in dienst en het verloop is vrij laag. Hoe doe je dat? Christiaan: “We hebben een sterke cultuur en doen naast ons werk goeie responsible disclosure projecten.” Dat hebben we ook gezien met hun auto hack, waar we zeker nog eens op terugkomen.
Foto: @dcypher_nl
Na de pauze willen we ook de kant van eventuele afnemers aan het woord laten: de gemeenten. Die hebben immers veel belangrijke data in beheer en weten ook niet altijd of ze wel voldoende beveiligd zijn of niet. We praten hierover met Daan Goumans Adviseur Informatiebeveiliging bij de IBD, het CERT van VNG, oftewel: de Informatie Beveiligings Dienst is het Computer Emergency Response Team van de Vereniging Nederlandse Gemeente. Als gemeenten dus lek blijken, kunnen ze de IBD bellen en krijgen ze Daan aan de lijn.
Wat hoort hij dan zoal? “Heel divers, maar het zijn meestal technische vragen die we in gewone mensentaal beantwoorden. Dan hebben ze bijvoorbeeld een Repsonisble Disclosure melding gekregen van een hacker die een kwetsbaarheid heeft gevonden. Naast CERT voor de 380 gemeenten, geven we hen ook advies over de aanschaf van producten en proberen we een kennis community te faciliteren, zodat ze ook bij elkaar de beveiliging ophoog brengen. En ja, we hebben ook zelf een RD-pagina, waar we meldingen ontvangen.”
Vorige aflevering hadden we Elger Jonker hier met zijn Faalkaart, waarop te zien is welke gemeenten lek zijn en welke niet. Wat vindt Daan hiervan? Is het niet teveel een digitale schandpaal? “We zien weleens paniek, als een gemeente slecht scoort. Toch moedigen we dit soort initiatieven juist aan, omdat we zo samen veiliger kunnen worden. Maar, je moet bij zo’n scan ook niet de context vergeten. Is het een kwetsbaarheid op, zeg kinderboerderij.rotterdam.nl, die op een aparte server staat? Dan is dat minder erg dan wanneer het op een site is waar je een zorgtoeslag aanvraagt. Risico = kans x impact. We hebben veel contact met de CISOs van gemeenten en die zijn blij met Faalkaart. Die kunnen ermee naar hun bestuurders: rood op de kaart betekent meer budget voor beveiliging. Het is eigenlijk een soort benchmark.”
Hebben ze ook zelf normen en benchmarks om te kijken hoe veilig de gemeenten zijn? Daan: “We hebben de BIR, baseline informatiebeveiliging rijk en BIG, voor gemeenten. Die lijkt op de ISO 27001, waarmee je beveiliging ook echt in kernprocessen toepast. Het gaat niet om dat ene lek, maar totale risico, dus niet alleen technisch, maar ook organisatorisch en procedureel. Je kunt bijvoorbeeld zo het gemeentehuis binnenlopen, maar de kantoorruimte, die moet wel achter een deur en op slot.” Wat zijn veel voorkomend kwetsbaarheden op gemeentesites? “XSS kom je overal tegen. Je ziet ook vergeten of verouderde certificaten, of gebrek aan versleuteling op sites waar persoonsgegevens verstuurd worden. Dat wordt dan gemeld en doorgegeven. We hebben ook de 06 nummers van de mensen die dat bij hun gemeente kunnen oplossen.”
Vragen gemeenten ook wel eens: wat is een goede pentest. “Jazeker. We vragen dan door of ze wel focussen op de juiste dingen: welke systemen, type test. We adviseren ze ook welke vragen ze moeten stellen aan leveranciers, over het oplossen en nazorg bij een gevonden kwetsbaarheid.” En als ze leveranciers hebben die niet meewerken en niet getest willen worden? “Meld ook dat bij de IBD. We hebben goede contacten bij leveranciers en kunnen direct met hen schakelen. Vinden de leveranciers zelf ook wel prettiger om via ons met meerdere gemeenten te schakelen. Maar, we werken wel onafhankelijk van leveranciers, we gaan niet adviseren welke ze moeten nemen.”
Wel wil hij nog wat kwijt over Kali Linux. Hij is namelijk zelf ook Offensive Security Certified Professional. Wat moest hij daarvoor doen? “Ik had drie maanden toegang tot een lab omgeving met 50 testmachines. Daar kun je tegenaan schieten wat je wil. Levert dan niks op, dan krijg je steeds een berichtje met ‘try harder’. Doe je dat goed, dan mag je op voor examen en krijg je vijf IP adressen, waar je binnen 24 uur admin rechten moet zien te verkrijgen. Best zwaar.”
Foto: @KevinStrooy
We gooien er flink wat hack ervaring in met John Sinteur en Hans van de Looy, beiden zelfstandig en redelijk anti-corporate. John heeft 30 jaar ervaring, met name als ontwikkelaar, heeft eventjes bij Apple en KPN gewerkt, maar vooral als zelfstandige. Samen met Melanie Rieback richtte hij Radically Open Security op, een non-profit security consultancy dat veel pentests doet. Hans heeft 35 jaar ervaring in IT-security: na de Hogere Informatica Opleiding in 1984 werd hij software engineer bij Positronica. Hij is ook bij alle edities van de Nederlandse hacker camps geweest, vanaf HIP (hack in progress 1987), bij HAR2009 deed hij de pers coordinatie en natuurlijk was hij er ook bij met SHA2017. Hij was ook een van de oprichters van security bedrijf Madison Gurkha en doet nu vooral zelfstandig opdrachten als UNICORN Security.
John zag met leden ogen aan hoe security bedrijven de markt verzieken. “Veel bedrijven doen een vulnerability test en leveren een vaag rapport zodat ze aan een hertest kunnen verdienen. Dat jeukte, wij willen uitleggen hoe het werkt.” Daarom richtte hij vier jaar geleden, samen met Melanie Rieback, Radically Open Security op, ’s werelds eerste not-for-profit security consultancy.
Hoe werkt dat? “Wat de brancheorganisatie wil, dat doen wij dus al vier jaar: openheid, klanten uitleggen hoe het werkt om samen de wereld veiliger te maken. We betrekken ze vroeg in het proces, om samen uit te vinden wat hun vraag echt is. Ze zouden zelf de offerte kunnen schrijven.” En not-for-profit? “Onze uurtarieven zijn marktconform en juridisch zijn we een bv. Van de winst gaat 90% gaat naar een fonds, voor open source ontwikkelingen. Daar dragen we dus geen belasting over af.”
Hans, is hacken tegenwoordig anders dan 35 jaar geleden? “Nee, eigenlijk is het hacken zelf gewoon hetzelfde gebleven: mensen maken fouten en daar kun je als hacker gebruik van maken. Wat wel verschilt is dat er tegenwoordig steeds meer tools worden gepubliceerd, die kant en klaar zijn en iedereen kan gebruiken. Een DDoS aanval koop je gewoon.” John: “Wat ook anders is, is dat tegenwoordig alles aan het internet hangt. Al die ICS/SCADA systemen zijn 20 jaar geleden ontwikkeld, zonder security in gedachte. En nu die Fitbits bijvoorbeeld. Die werden gedragen door Amerikaanse soldaten en daarmee kon je dus online geheime legerbases mee vinden. Ik wil ook geen auto die online gaat, maar die is er straks niet meer.” Wat volgens Hans ook wel anders is, is de schaal waarop overheden massa surveillance toepassen, met hulp van bedrijven als Facebook. En dat security bedrijven zich nu allemaal ‘cyber’ noemen. Dat vindt hij maar niks.
Dan de hoofdvraag: wat is een goeie pentest? Volgens de heren is daar het meeste al over gezegd. Wat hij nog wel wil benadrukken is dat je alleen goed kan testen als je mensen hebt die de techniek ook echt begrijpen. “Dat zijn de hackers, niet de mensen die even 150 vragen beantwoorden en dan Certified Ethical Hacker zijn, want dat is net als je theorie rijexamen. Bij OSCP ga je het ook echt toepassen: eerst drie maanden op 150 systemen en dan op drie systemen diep.” Verder moeten we ook niet vergeten dat 100% veiligheid niet bestaat. Afhankelijk van de waarde van informatie moet je het veiliger maken, maar dat gaat vaak ten koste van de gebruikersvriendelijkheid.
Iemand uit de zaal vraagt of social engineering niet ook standaard onderdeel moet uitmaken van een goede pentest. Vervolgens beantwoordt hij de vraag zelf met ‘ja’, nodigt het publiek uit om vooral ook naar hun bijeenkomsten te komen en geeft daarmee eigenlijk een demo van hoe je een bijeenkomst hackt. Volgens Hans en John valt social engineering vooral onder red teaming, waarin je een echte aanval simuleert. “Noem het gedragsbeïnvloeding, jezelf naar binnen lullen, of mooier, het hacken van mensen.” Ook dat werd volgens Hans en John vroeger ook al gedaan.
Bijvoorbeeld Kevin Mitnick, die in de jaren 80 met mensen ging praten om in de broncodes van systemen te komen. Hij werd in 1995 opgepakt, heeft een tijd ondergedoken gezeten, er toen een paar boeken over geschreven en is nu informatiebeveiliging consultant. Hij doet nu dus precies hetzelfde als vroeger, maar laat zich daar nu voor betalen. Maar ook daar zie je dat aanvalstechnieken geautomatiseerd worden. Elke grote hack die tegenwoordig in het nieuws komt, begon met social engineering, al was het maar een phishing mail. Als je alles goed beveiligd, kun je altijd nog via de gebruikers naar binnen, aldus John en Hans.
Foto: @dcypher_nl
Terug naar Petra. We hebben leden en ook niet-leden aan het woord gelaten over wat een goeie pentest is. Kan Cyberveilig NL daar wat mee? “Jazeker. Ten eerste heb ik veel technische termen gehoord en dat we security begrijpelijk moeten maken voor de mensen. Daar moeten we ook als brancheorganisatie iets mee, bijvoorbeeld een woordenboek opstellen. Het woord ‘cyber’ mag dan volgens sommigen niet, maar daarmee begrijpt de buitenwereld het volgens mij juist wel.”
“Ten tweede: kwaliteit van pentesten hangt af van veel factoren. Je moet je processen goed inrichten en goede testers hebben. Certificaten kunnen helpen om begrip te krijgen, OSCP dwingt echt respect af. Ten derde moet je breder kijken dan alleen de techniek. Op dit moment kijken we voornamelijk met techneuten naar gedrag en proberen we awareness te creëren door te laten zien hoe makkelijk je kunt hacken. Dat moet breder. We werken al multi-disciplinair, maar dat mag meer. Laten we bijvoorbeeld psychologen inzetten om gedrag te veranderen en niet alleen techneuten. Ten vierde: kennisdeling, met name over risico’s. Veel bedrijven die gehackt zijn, blijven op die data zitten. Er zijn er ook die heel transparant communiceren om ervan te leren. We moeten meer dreigingsinformatie delen, ook met overheid en de overheid met onze sector. Een meldplicht helpt ook om meer statistieken te krijgen over dreigingen.”
Na al die dreigingen, wil Petra wil ook graag eindigen met iets positiefs. “Ik zie cyber security ook als kans: als je zegt dat je de veiligheid hebt meegenomen in de ontwikkeling van je producten en diensten, dan is dat een toegevoegde waarde in de markt. Bescherm niet alleen je kroonjuwelen, maar biedt ook een veilig portfolio. Daarmee krijgen we als land het imago dat we veilige diensten leveren. Hoe mooi is dat?
Als geroepen komen er twee studenten aan tafel die een eigen pentest hub hebben ontwikkeld. Ze zijn van Information Security opleiding van de TU Delft en bieden gratis pentests aan voor kleine bedrijven. Petra kan het waarderen dat er zoveel initiatieven zijn nu. Om de kwaliteit te waarborgen zouden de studenten ook kunnen aanhaken bij bedrijven van Cyberveilig NL voor begeleiding en wellicht later een baan. Iedereen blij.
Toegang was gratis en je krijgt geen spam of andere shit. Dat kan omdat we gesteund worden door organisaties die net als wij graag kennis delen over cyber security. Dus, met dank aan: