• Ontzorging en service
  • 24/7 geholpen
  • Uitgebreide mogelijkheden
Ontzorging en service
Consultancy Managed hosting Security Webhosting 30 november 2023

De impact van gebrekkig pentesten

5 minuten leestijd

Deel dit artikel

De impact van gebrekkig pentesten

De online aanwezigheid is voor veel bedrijven van groot belang. Soms zelfs van levensbelang. Ze ontlenen hun bestaansrecht aan hun website, webshop of applicatie. Dit geldt zeker voor webagencies. De beschikbaarheid én de security van de websites en applicaties van hun klanten zouden dan ook de hoogste prioriteit moeten hebben…

De praktijk is anders: Hoewel structureel pentesten helpt bij het tijdig opsporen van potentiële kwetsbaarheden, lopen veel bedrijven risico’s. In deze blog vertellen we je over de impact van gebrekkig pentesten, de belangrijkste uitdagingen en natuurlijk hoe je ervoor zorgt dat je die de baas wordt.

Wat is pentesten?

Een pentest, ook wel bekend als een penetratietest, is een manier om kwetsbaarheden in de beveiliging van een online omgeving op te sporen. Tijdens een geplande pentest doet een ethische hacker zich voor als een cybercrimineel. Er worden verschillende pogingen gedaan om een website of applicatie binnen te dringen. Na afronding van de test ontvang je een rapport met hierin alle bevindingen rondom de beveiliging.

Door op deze manier ‘gecontroleerd te hacken’ kom je er als eigenaar veilig achter waar jouw beveiliging aandacht vraagt. Op basis hiervan kan jij vervolgens hele gerichte verbeteringen doorvoeren.

Pentesten is niet alleen iets voor grote bedrijven. Ook kleinere bedrijven die gegevens verwerken via een website, kunnen grote risico’s lopen als kwetsbaarheden niet goed worden gemonitord.

Kevin Bentlage, CTO bij Cobytes klantenfoto

Kevin Bentlage

CTO bij Cobytes

De impact van gebrekkig pentesten

De beveiliging van websites en applicaties, ook wel cybersecurity genoemd, wordt steeds belangrijker. Dat komt onder andere doordat we steeds afhankelijker worden van alle digitale oplossingen die beschikbaar zijn. Een aanval of lek heeft dus grote gevolgen. Tegelijkertijd betekent dit ook dat er veel meer ‘valt te halen’ voor cybercriminelen. Voor iemand met kwade bedoelingen wordt het aantrekkelijker om een poging te wagen.

Met pentesten spoor je zelf eventuele kwetsbaarheden op, voordat een ander het doet. Hiermee voorkom je dat risico’s niet of te laat gesignaleerd worden, wat kan zorgen voor een datalek en een ongewenste open deur voor cybercriminelen.

De gevolgen van gebrekkig pentesten kunnen flinke impact hebben op organisaties:
Financiële schade door gebrekkig pentesten
Uit onderzoek blijkt dat een incident zoals een datalek of een hack een mkb-bedrijf in Nederland gemiddeld zo’n 270.000 euro kost (bron: bnr.nl). De kosten komen voort uit alles wat er voor nodig is om het incident op te lossen en eventuele boetes die betaald moeten worden. Voor kleinere bedrijven kan dit een flinke impact hebben op de financiële gezondheid en in sommige gevallen zelfs het voortbestaan in gevaar brengen.

Reputatieschade door gebrekkig pentesten
Ook op de langere termijn kan een securityincident vervelende gevolgen hebben. Wanneer dit bij het grote publiek bekend wordt kan het namelijk de reputatie schaden. Klanten kunnen hierdoor het vertrouwen verliezen in de online veiligheid die jij kan bieden. Dit kan er vervolgens weer voor zorgen dat bestaande klanten afscheid nemen en potentiële klanten kiezen voor een andere leverancier. Ook deze vorm van schade zou op de langere termijn zelfs nog het voortbestaan van een bedrijf in gevaar kunnen brengen.

Operationele verstoringen door gebrekkig pentesten
De dagelijkse gang van zaken op de werkvloer kan ook flink verstoord worden door de gevolgen van gebrekkig pentesten. Want de gevolgen van reputatieschade en financiële schade hebben uiteraard ook invloed op de dagelijkse werkzaamheden en de onderlinge sfeer. En ook wanneer dit nog niet het geval is, kunnen onopgeloste kwetsbaarheden invloed hebben op de bestaande processen en de kwaliteit die geleverd wordt.

De uitdagingen van pentesten

Pentesten wordt door lang niet alle bedrijven ingezet. Dit heeft te maken met verschillende uitdagingen:

Bang voor de gevolgen
Voor sommige bedrijven zijn de onbekende gevolgen van een pentest een reden om het niet te doen of uit te stellen.

Wanneer een bedrijf geen tot weinig ervaring heeft met pentesten, zien we vaker dat het testen wordt uitgesteld. Bedrijven zijn dan bijvoorbeeld bang dat er tijdens het testen iets wordt stukgemaakt of dat de website helemaal offline gaat.

Kevin Bentlage, CTO bij Cobytes klantenfoto

Kevin Bentlage

CTO bij Cobytes

Buiten de gevolgen van het testen zelf, zijn bedrijven soms ook huiverig voor de resultaten. Eigenlijk weten zij vooraf al dat er iets niet goed is. En omdat ze de middelen en de mensen niet hebben om de problemen op te lossen, schuiven ze het testen voor zich uit.

Onduidelijke scope
Een goede voorbereiding is het halve werk. Dit geldt ook voor een pentest. Het is van groot belang dat je vooraf goed in kaart brengt wat er precies getest moet worden. Want wanneer de scope van de test onduidelijk is zal de uitkomst in de meeste gevallen niet volledig zijn of is het onduidelijk wat er mee moet gebeuren. En dat is zonde van het budget en alle tijd en moeite die eraan besteed is. Toch is dit binnen veel teams één van grootste uitdagingen. Want ook het realiseren van een glasheldere scope, vraagt om tijd en aandacht die er vaak simpelweg niet is.

De kosten
Een van de veelgenoemde redenen waarom pentesten te weinig gebeurt zijn de kosten. Het inplannen en uitvoeren van een pentest kost tijd en geld. En dan hebben we het nog niet eens over de risico’s die uit de test komen. Want ook het aanpakken van de risico’s kost tijd en geld. Uit onderzoek van Cobalt blijkt dat slechts 39% van de kritische kwetsbaarheden die zijn vastgesteld tijdens een pentest daarna zijn bevestigd als opgelost. Dit betekent dus dat in maar liefst 61% van de gevallen er bewust voor wordt gekozen de kwetsbaarheden niet aan te pakken. Je begrijpt dat dit zorgt voor grote risico’s…

Pentesten is belangrijk. Belangrijker dan vaak wordt gedacht. Maar denk ook zeker na over het oplossen van de uitkomsten en het na-testen om te controleren of iets écht is opgelost.

Kevin Bentlage, CTO bij Cobytes klantenfoto

Kevin Bentlage

CTO bij Cobytes

Beperkte resources
Uit hetzelfde onderzoek van Cobalt komt naar voren dat veel security teams last hebben van budgetbeperkingen en onderbezetting in het team. Zowel in Europa als in Amerika geeft 61% van de respondenten aan dat zij hierdoor moeite hebben het security level op het gewenste niveau te houden.

Naast onderbezetting speelt ook het vinden van de juiste kennis en expertise een rol. Om alle gewenste onderdelen mee te kunnen nemen in een pentest is vaak specialistische kennis nodig. In veel gevallen lukt het bedrijven niet deze te vinden. Met een gebrekkige pentest als gevolg.

De oplossingen voor pentesten

Zorg voor een duidelijke scope
Zoals al eerder benoemd, een goede voorbereiding is het halve werk. Zorg dat je vooraf een duidelijk beeld hebt van wat er concreet getest moet worden. Zorg ook voor een duidelijke beschrijving hiervan richting degene die moet gaan testen. Zo staan in ieder geval alle neuzen dezelfde kant op.

Continuous pentesting
Een traditionele pentest vindt periodiek plaats. Dit kan bijvoorbeeld een keer per kwartaal of per halfjaar zijn. In dit geval moet de test goed gepland worden. Er moeten resources vrijgemaakt worden om in te zetten voor de pentest. Dit heeft dus periodiek ook de nodige impact op de dagelijkse werkzaamheden.

Continuous pentesting kan hierin de oplossing bieden. Want zoals de naam al doet vermoeden, is dit een proces wat continu doorloopt. Pentesten wordt hierdoor een vast onderdeel van het werkproces. En dit brengt nogal wat voordelen met zich mee:

Pentesten is essentieel

Proactief de beveiliging van jouw websites en applicaties testen is van groot belang. Zeker wanneer je meerdere websites beheert voor jouw klanten, is het een essentieel onderdeel van het gehele proces.

Continuous pentesting kent vele voordelen. Het maakt het makkelijker om actief aan de slag te gaan en vooral ook actief te blijven met het opsporen van eventuele kwetsbaarheden. Maak je gebruik van een CI/CD pipeline? Dan is continuous pentesting eigenlijk echt onmisbaar om alle geautomatiseerde deployments te controleren.

Bij Cobytes adviseren en begeleiden wij onze klanten bij pentesten. We kunnen zowel periodiek pentesten als een continuous pentesting proces opzetten. Hierin kijken we uiteraard naar de business en de behoefte van de klant. Wanneer we onze klanten ondersteunen met continuous pentesting, monitoren wij ook alle resultaten die hieruit voortkomen. Zo weet de klant zeker dat de kwaliteit van de beveiliging goed wordt onderhouden.

Wil jij ook aan de slag met (continuous) pentesting of heb je misschien nog vragen? Neem dan contact met ons op, we denken graag met je mee!

Kevin

Dit artikel is gescreven door

Kevin

Met ruim 15 jaar ervaring in de IT is Kevin een ware tech-wizard. Hij heeft altijd een technische oplossing paraat en navigeert moeiteloos door de Linux CLI.

Deel dit artikel

Bekijk deze relevante artikelen

Hoe SSL-certificaten je website (on)veiliger maken

24 mei 2023

Hoe SSL-certificaten je website (on)veiliger maken

Veilige hosting en hosting security: hoe beoordeel je de veiligheid van je hosting provider?

24 mei 2023

Veilige hosting en hosting security: hoe beoordeel je de veiligheid van je hosting provider?

logo keuzehulp

Niet zeker welk
pakket of dienst past
bij jouw organisatie?

Beantwoord in 1 minuut een aantal vragen en kom erachter!

Start de keuzehulp
1

Hoe belangrijk is hosting voor jou?

Gebruik je jouw hosting hobbymatig, of is het van cruciaal belang voor jouw bedrijf?

Hobbymatig
Informatief
Cruciaal
2

Voor welke toepassing heb je hosting nodig?

Wil je een website, webshop of (maatwerk) applicatie hosten?

Website
Webshop
Applicatie
3

Moet de hosting kunnen schalen?

Heb je veel te maken met pieken en dalen? bijvoorbeeld tijdens vakantie periode's, black friday, mailings, kerst etc?

Nee
Soms
Regelmatig
4

Hoeveel bezoekers komen er per dag op jouw website?

Dit is erg bepalend voor het type hosting.

Geen idee
< 1000
> 1000
5

Wat voor maandbudget heb je voor hosting?

Wij kunnen vrijwel altijd een passende oplossing bieden voor ieder budget.

€€
€€€
6

Wil je (of jouw team) zelf aan de knoppen zitten?

Heb je zelf veel technische kennis? Of wil je graag complete onzorging?

Nooit
Liever niet
Graag
7

Wie draagt (bij voorkeur) verantwoordelijkheid voor jouw hosting

Kom je zelf in actie bij calamiteiten? Of laat je dit aan ons over?

Ikzelf
Gezamelijk
Hostingpartij
Vragenlijst afronden

Bedankt voor het invullen!

Er is iets mis, we kunnen op basis van jouw keuzes geen advies geven.

Neem even telefonisch contact met ons op: 088-8788900 of stuur een e-mail naar sales@cobytes.com.

Het lijkt erop dat je een managed VPS nodig hebt.

Jouw eisen aan hosting zijn hoog, dit vereist een maatwerk oplossing, bijvoorbeeld een High-Available cluster.

Vul onderstaand formulier in om jouw persoonlijke advies te ontvangen. Geen zorgen, je zit nergens aan vast. Ons advies is geheel vrijblijvend!

Wanneer u een aanvraag doet gaat u akkoord met onze algemene voorwaarden en privacyverklaring. We gaan uiteraard zorgvuldig om met uw gegevens.