Waarom zou je juist gaan pentesten nu dat de AVG alweer bijna twee jaar van kracht is? Misschien moet ik beginnen met het stellen van de vraag: wat is pentesten? Want voor veel mensen zal dit wellicht een onbekende term zijn. Pentesten (of voluit penetration testen) is volgens Wikipedia: een toets van een of meer computersystemen op kwetsbaarheden, waarbij deze kwetsbaarheden ook werkelijk gebruikt worden om in deze systemen in te breken.is het testen van software of hardware op kwetsbaarheden. Een pentest richt zich dus op vinden van problemen en die te documenteren. Zo weet je als organisatie waar er eventueel problemen kunnen ontstaan. Ook ontdek je hoe je dit kunt mitigeren en wat de impact is als iemand zo’n kwetsbaarheid uitbuit. We hebben het dan ook wel over een “ethische hack”. Waarom pentesten zo belangrijk is nu de AVG van kracht is.
Stel je eens voor: je hebt een stuk maatwerk software gemaakt. Bijvoorbeeld een administratiepakket. Je wilt hier je geld mee verdienen als bedrijf en levert dit dus aan verschillende klanten. Naast de functionaliteit die de software heeft en waar klanten voor betalen wil je je gemaakte software ook verbeteren. De software verzamelt daarom allerlei gegevens. Bijvoorbeeld over hoe de software gebruikt wordt (welke schermen worden het meest aangesproken, op welke knop wordt vaak geklikt en welk scherm zien de gebruikers als eerste). Daarnaast slaat de software natuurlijk ook gewoon de functionele gegevens op zodat jouw klant er mee kan werken. Denk aan de inloggegevens, namen, adressen, afbeeldingen, scans van documenten, etc. etc. Alles wat nodig is om van dag tot dag te kunnen werken, maar mogelijkerwijs ook privacygevoelige gegevens.
Succes
Je software is een succes: iedere accountant koopt het en de wensenlijst groeit. Je gaat dus nog meer data opslaan. Notitievelden worden toegevoegd en er worden misschien wel koppelingen gemaakt naar andere software zodat data overdracht mogelijk is. Absoluut fantastisch. Het is een succes.
Je pakket is natuurlijk zo ingericht dat het kan voldoen aan de privacywet AVG. Dus op het moment dat er een vraag komt van een betrokkene (jouw klant of de eindklant, de klant van jouw klant) kun je zonder al te veel problemen tonen welke data er allemaal wordt verwerkt. Tot zo ver geen problemen.
Maar hoe weet je nu eigenlijk of alles wel veilig wordt opgeslagen? Of dat klanten niet zo maar bij elkaar kunnen kijken door parameters te veranderen? Heb je nagedacht over rechten? Verstuur je data versleuteld tussen de klant en de server? En hoe zit het met de koppelingen naar andere pakketten? Is dat allemaal wel veilig?
Pentesten
Een fout is zo gemaakt en kan desastreuze gevolgen hebben. Bedenk maar eens welke gevolgen het heeft wanneer de data die buiten de deur ligt heeft voor jou als organisatie. Imagoschade? Een claim? Boetes? Daarom is pentesten zo belangrijk geworden, juist ook nu de AVG van kracht is geworden. Je kunt een test laten doen op beveiliging van de software om zo aan te tonen waar problemen liggen. Zo kunnen deze kwetsbaarheden eerder aan licht komen voordat een kwaadwillende hacker ze uitbuit. Hiermee voorkom je dat privacygevoelige gegevens van je klanten op straat komen te liggen. Meer weten of een pentest? Neem dan zeker contact op.