Independent. Dynamic. Involved.
nlen

Draagt een pentest bij aan het voldoen aan de eisen van de AVG/GDPR?

Door Thom Otten, security consultant bij Traxion.

Vier tips bij uitvoering van een pentest die bijdraagt aan het voldoen aan de AVG/GDPR

De Algemene verordening gegevensbescherming (AVG) schrijft voor dat u maatregelen moet treffen om door u beheerde persoonsgegevens te beschermen tegen lekken en misbruik. Nu de AVG een feit is, zorgt die niet erg specifieke beschrijving wellicht voor hoofdbrekens. Want wat moet u dan precies doen om compliant te zijn?

Met een pentest krijgt u inzicht in de zwakke plekken en/of gaten in uw infrastructuur, die gebruikt kunnen worden om data te lekken. Bij deze vorm van testen gaan securityprofessionals op zoek naar manieren waarop iemand op een ongeautoriseerde manier van buitenaf, maar ook van binnenuit, dus vanuit uw bedrijfslocatie(s), toegang tot uw infrastructuur kan krijgen om zich vervolgens toegang te verschaffen tot bijvoorbeeld een (web)applicatie of database waarin persoonsgegevens worden verwerkt. Alle gaten en kwetsbaarheden die worden gebruikt tijdens het proces om toegang te verkrijgen tot die persoonsgegevens, worden door de pentesters vastgelegd. Vervolgens wordt in een rapport niet alleen melding gemaakt van de kwetsbaarheden (zwakheden en gaten), maar wordt ook een advies gegeven hoe u deze kwetsbaarheden kunt dichten.

Beheerders van kritieke infrastructuur – denk aan waterbedrijven of luchthavens – gebruiken de inzichten uit pentesten om te voorkomen dat iemand van buitenaf het systeem platlegt. Maar een pentest is ook een prima manier om vast te stellen of u gevoelige informatie veilig hebt opgeslagen. En of u dus voldoet aan de eis van de AVG met betrekking tot de beveiliging van persoonsgegevens. Wilt u de veiligheid van uw gegevens testen met een pentest? Volg dan de volgende vier tips op.

  1. Maak duidelijke afspraken

Voor u aan de slag gaat met pentesten, is het verstandig om daar met betrokken securityprofessionals afspraken over te maken. Op het gebied van geheimhouding bijvoorbeeld, maar zeker ook met betrekking tot de scope van de pentest en welke risico’s u wilt verkleinen. Stel samen een testplan op, waarin u vastlegt wat het doel is van de test en welke onderdelen de securityprofessionals gaan testen. Daarnaast is het verstandig om vast te leggen ten opzichte van welke standaarden uw systemen of applicaties getest worden, met name wanneer AVG-compliancy de belangrijkste reden is om de pentest uit te voeren. Er zijn speciale standaarden waartegen getest kan worden om AVG-compliancy voor wat betreft noodzakelijk aanwezige beveiliging van uw systemen aan te tonen.

Leg in het testplan zeker ook vast wat voor gevolgen de tests mogen hebben voor de beschikbaarheid van uw systeem. Aangezien een pentester bewust op zoek gaat naar zwakke plekken in uw systeem, kan dat er bijvoorbeeld toe leiden dat uw applicatie tijdelijk niet meer bereikbaar is – en uw klanten ineens geen toegang hebben. In zo’n geval kunt u bijvoorbeeld afspreken om de pentest in een bètaomgeving (acceptatie- of testomgeving) uit voeren, of buiten kantooruren als het minder druk is.

  1. Kijk verder dan uw digitale kasteelmuren

Veel bedrijven denken bij digitale beveiliging van informatie vooral aan het voorkomen van ongeautoriseerde toegang via het internet. Daarbij gaan ze er vanuit dat de traditionele kasteelmuren (of firewalls) voldoende bescherming bieden om aanvallen te voorkomen.

Maar zelfs als een database of applicatie alleen binnen de bedrijfsmuren toegankelijk is, is het nog steeds mogelijk dat criminelen zich toegang weten te verschaffen. Doordat een aanvaller bijvoorbeeld via een phishingaanval toegang krijgt tot het interne netwerk en zo het doelsysteem weet te bereiken. Of zelfs doordat iemand gewoon ongezien langs de receptie glipt en ergens in het pand een netwerkkabel aansluit.

Alleen focussen op de digitale kasteelmuren van uw pand of datacenter is dus niet voldoende om aan de AVG te voldoen. Kijk daarom verder en breng in kaart hoeveel gegevens iemand zou kunnen buitmaken als het hem of haar lukt binnen de fysieke muren van uw bedrijf te komen. Houd er daarnaast ook rekening mee dat de AVG voorschrijft dat u data classificeert (wel en/of geen (bijzondere) persoonsgegevens), zodat u aan de hand daarvan de juiste beveiligingsmaatregelen kunt treffen.

  1. Prioriteer de resultaten van de pentest

Als uit het pentestrapport blijkt dat u met de AVG in overtreding bent, bijvoorbeeld doordat er kwetsbaarheden naar voren komen, is het natuurlijk zaak om die zo snel mogelijk op te lossen. Werk daarbij zo efficiënt mogelijk. Stel bijvoorbeeld dat er zes zwakke plekken worden vastgesteld, waarvan er vijf redelijk eenvoudig zijn te verhelpen, maar er één wat meer voeten in de aarde heeft. Veel bedrijven maken in zo’n geval de fout om ze alle zes in één keer te willen verhelpen, terwijl het veel efficiënter is te beginnen met de oplossingen die snel kunnen worden geïmplementeerd. Zo hebt u daarna alle tijd en aandacht voor de oplossing die wat meer moeite vergt.

  1. Met een eenmalige test bent u er nog niet

Hebt u een pentest doorstaan? Goed nieuws, maar dat betekent niet dat u voor altijd AVG-proof bent. Een toekomstige software-update kan er immers voor zorgen dat er nieuwe kwetsbaarheden ontstaan. Daar komt nog eens bij dat criminelen niet stilzitten en ook zij met de ontwikkelingen op IT-gebied meegaan.

Wat vandaag een onneembare digitale vesting lijkt, kan over een jaar dus alsnog een veiligheidsrisico vormen. U doet er daarom verstandig aan op frequente basis pentests in te plannen, bij voorkeur eens in de zes tot twaalf maanden.

AVG is meer dan wetgeving

Pentests zijn een goede manier om aan te tonen dat u de AVG-eisen op het gebied van gegevensbeveiliging serieus neemt. Maar compliancy is uiteraard niet de belangrijkste reden om een pentest uit te voeren. Door persoonsgegevens van klanten, werknemers en leveranciers op te slaan, neemt u immers ook de belangrijke taak op zich om die data te beschermen. Daar hoort bij dat u kritisch blijft naar u zelf om zo goed mogelijk met die verantwoordelijkheid om te gaan. Een pentest is daarbij een goed begin om inzicht te krijgen in wat u allemaal in uw IT-infrastructuur hebt staan, waar mogelijk persoonsgegevens gebruikt worden, en welke gaten en zwakke plekken (kwetsbaarheden) in uw infrastructuur, (web)applicaties en remote access gateways aanwezig zijn.

Meer weten? Neem contact op met Traxion, 0418-653883.