Steeds vaker bereiken berichten de media over hackeraanvallen op bedrijven en instellingen. Deze trend wordt met cijfers inzichtelijk gemaakt. Volgens Fortinet’s Threat Landscape Index zijn in de afgelopen periode wederom records gebroken met een toename van het aantal cybersecurity-aanvallen. De gevolgen van een succesvolle aanval kunnen verwoestend zijn; naast verlies van inkomsten en aanzienlijke imagoschade dreigen ook hoge boetes.
Het is dan ook niet verwonderlijk dat databeveiliging voor organisaties steeds belangrijker wordt. Een uitgebreide beveiligingsstrategie is essentieel om te beschermen tegen de steeds geavanceerdere methoden van hackers. Penetratietests, ook wel pentesten genoemd, spelen in deze context een belangrijke rol en zouden moeten worden opgenomen in iedere IT-beveiligingsstrategie. Waarom?
1. Pentesten leggen kwetsbaarheden bloot voordat "echte" hackers dat doen
Tijdens een pentest proberen getrainde penetratietesters jouw IT-systemen aan te vallen met dezelfde methoden als criminele hackers. Dit alles in een gecontroleerd en veilig kader en zonder misbruik te maken van de gevonden kwetsbaarheden. Het gaat erom potentiële kwetsbaarheden en aanvalspunten van het bedrijf te tonen voordat ze kunnen worden uitgebuit door cybercriminelen. Deze bevindingen en informatie zijn enorm nuttig om de huidige beveiliging een rapportcijfer te kunnen geven.
2. Pentesten helpen bij het ontwikkelen van een efficiënte beveiligingsstrategie
Aan het eind van een pentest ontvang je een gedetailleerd rapport met de gevonden kwetsbaarheden en een beoordeling van de mate waarin deze kunnen worden gebruikt door criminele hackers om de IT-systemen aan te vallen. Ook worden de kwetsbaarheden geëvalueerd in termen van het risico voor het bedrijf en de inspanningen die nodig zijn om het te verhelpen. Met deze informatie kunnen IT-beveiligingsteams in bedrijven prioriteiten stellen en de juiste maatregelen nemen.
Bovendien kan de rapportage worden gebruikt om het management of het topmanagement te informeren over de huidige status van de beveiligingsstrategie. De resultaten bieden een goede basis om te praten over het budget voor IT-beveiliging en aanverwante maatregelen.
3. Pentesten besparen je geld (en tijd)
Natuurlijk kost een pentest geld. Met een toch al krap budget moet de inzet goed worden overwogen. Afgemeten aan wat penetratietesten voor een bedrijf kan opleveren, kan je het zien als een goede investering. Inkomstenverliezen en mogelijke boetes of schadeclaims zijn vaak vele malen hoger bij een succesvolle hackeraanval.
De kosten van een datalek laten zien hoe duur een hackeraanval op gevoelige gegevens daadwerkelijk kan worden. De totale kosten voor het verliezen van gevoelige gegevens zijn gemiddeld bijna 4 miljoen euro. Tel daarbij de gemiddelde ‘levensduur’ van een datalek op. Die staat op 279 dagen: 206 dagen om het datalek te ontdekken en 73 dagen om de gevolgen in te perken. Bedrijven die erin slagen om die tijd naar 200 dagen of minder te verlagen, besparen naar schatting 1 miljoen Euro. In dat licht bezien vallen de kosten voor een pentest enorm mee.
4. Pentesten beschermen tegen imagoverlies en ontevreden klanten
Niet alleen de financiële schade kan ernstig zijn bij een hackeraanval, de reputatie van een organisatie en het vertrouwen van klanten lijden onder een incident. Dit wordt ook aangetoond door het Global Application & Network Security Report 2018. Maar liefst 93% van de organisaties wereldwijd bevestigde dat er een negatieve impact was op klantrelaties nadat ze het slachtoffer waren geworden van een hackeraanval.
Facebook leed na een succesvolle hackeraanval in 2018, waarbij de aanvallers toegang konden krijgen tot 30 miljoen gebruikersaccounts, enorme imagoschade en ondervond een aanzienlijke afname van gebruikers.
5. Pentesten optimaliseren het gedrag van de medewerkers bij een echt incident
Last but not least biedt een pentest ook inzicht in hoe de medewerkers op de IT-afdeling (of het calamiteitenteam) zich gedragen bij een incident. Enerzijds worden fouten of zwaktes in het gedrag en interne processen onthuld, die vervolgens expliciet kunnen worden getraind en verbeterd. Anderzijds zijn pentesten ook een goede training voor het calamiteitenteam. Als er daadwerkelijk een lek wordt gevonden, hoe gaan ze er mee om en zijn ze voldoende voorbereid op een dergelijk incident? Het biedt de mogelijkheid om hackeraanvallen correct te herkennen en de bijbehorende verdedigingsacties te initiëren. Dit kan beter eerst worden geoefend vóór een noodgeval.
Conclusie
In een wereld die steeds ‘digitaler’ wordt, is data een van de belangrijkste troeven van elke organisatie. Het moet worden beschermd om in de toekomst concurrerend te blijven. Dit hebben de meeste organisaties inmiddels erkend en voor hen is databeveiliging een belangrijk aandachtspunt geworden. In een holistische beveiligingsstrategie moeten penetratietests een integraal onderdeel zijn, omdat het waardevolle informatie biedt over de huidige status van de beveiligingssystemen en beveiligingskwetsbaarheden identificeert voordat deze door cybercriminelen kunnen worden misbruikt.