MKB opgelet: één test per jaar houdt hackers echt niet meer tegen

De manier waarop organisaties hun digitale veiligheid testen staat op een kantelpunt. Jarenlang vertrouwden bedrijven op eenmalige penetratietests of anonieme hackers om erachter te komen waar de zwakheden in hun systeem zitten. Maar die aanpak begint te kraken. Systemen veranderen continu en cyberdreigingen nemen fors toe. Hoe moeten organisaties daar vandaag de dag mee omgaan? Wij spraken met cybersecurityexpert Patrick Jordens. “Het wordt tijd dat we onze digitale veiligheid structureel gaan organiseren. De tijd van incidenteel testen ligt achter ons.”

Patrick Jordens

Patrick Jordens (1969) is een ondernemer met een hart voor digitale veiligheid. Hij is directeur van de Trusted Third Party (TT3P) en oprichter van DMCC Group, dat organisaties helpt voldoen aan alle externe wet- en regelgeving en interne beleidsregels op het gebied van privacy en consumentenrecht. Ook is hij gastdocent marketing, data privacy en ethiek aan de Hogeschool van Rotterdam.

Waarom voldoet de traditionele manier van kwetsbaarheden testen niet meer?

“Van klantgegevens tot productieprocessen: voor elk bedrijf is het van belang om de digitale veiligheid goed op orde te hebben. Veel organisaties werken nog met een klassieke pentest: een eenmalige controle waarbij een securityspecialist probeert in te breken in je systemen. Dat is waardevol, maar het blijft een momentopname. Systemen veranderen continu. Als je twee maanden na de pentest iets aanpast in je infrastructuur, kunnen er alweer nieuwe kwetsbaarheden zijn ontstaan.

Ook passen bedrijven soms bug bounty toe. Je stelt je systemen open voor een grote groep externe ethische hackers – zogenaamde white hats – die continu op zoek gaan naar kwetsbaarheden. Je betaalt alleen als er iets wordt gevonden. Grote partijen zoals Apple en Google werken hier al jaren mee. Maar ook deze manier van werken kent grote nadelen. Het is een competitie: wie vindt als eerste een bug? Complexere kwetsbaarheden zijn daarom vaak minder aantrekkelijk voor hackers. Die kosten tijd en vereisen een diep begrip van een organisatie. Dat past minder goed bij een ‘snelle beloning’-structuur. Je weet bovendien vaak niet wie er precies in je systemen zit. Hackers opereren meestal anoniem. Ook dat is een risico.”

Kun je systemen regelmatig en automatisch scannen op kwetsbaarheden met bepaalde tools?

“Ja, die tools bestaan. Maar ook die kennen hun beperkingen. Dergelijke programma’s richten zich vooral op bekende problemen die vooraf zijn gedefinieerd. Dat biedt onvoldoende zekerheid voor een goede beveiliging. Een echte hacker denkt namelijk anders. Die kijkt naar de context van een systeem en naar waar logica kan worden misbruikt.”

Werken met hackers is geen oplossing. Een automatische tool ook niet. Hoe nu verder?

“Je ziet een duidelijke verschuiving naar structurele samenwerking. In plaats van eenmalige tests of losse bug bounties, gaan organisaties steeds vaker werken met vaste teams van pentesters. Dat noemen we ook wel ‘pentesting as a service’.

Daarbij werk je continu samen met specialisten die jouw systemen kennen. Ze kunnen direct vragen stellen, begrijpen de bedrijfslogica en vinden daardoor diepere kwetsbaarheden. Het is geen rapportje achteraf, maar een doorlopend proces.”

Dat klinkt wel prijzig.

“Het is niet goedkoop. Je praat al snel over enkele duizenden euro’s. Voor grotere organisaties loopt dat verder op. Maar je moet het wel afzetten tegen de kosten van een hack. Als het eenmaal zover is, dan ben je nog veel meer geld kwijt.

Op dit moment zie je structureel pentesten vooral bij corporates en overheden. Maar het verschuift langzaam richting het mkb. Daar leeft nu nog vaak het idee: we hebben één keer een pentest gedaan, dus het zit wel goed. Dat is simpelweg niet meer de realiteit. Cybersecurity is geen eenmalige actie. Het is iets wat je continu moet onderhouden.”