Tekortkomingen van het CCV-pentestkeurmerk

Originele release op LinkedIn.

Het CCV-pentestkeurmerk kan de zekerheid die het belooft niet waarmaken. Het is geen adequaat keuringsmodel omdat pentesten een koepelbegrip is. De certificaten die worden gebruikt om pentestvaardigheden te beoordelen zeggen daarom weinig over de kwaliteit van de dienstverlening. In plaats van de gebrekkige kwaliteitsborging kan het CCV het budget voor cyberveiligheid beter in andere kerntaken investeren om een effectievere impact te maken.

De meeste pentesters die ik spreek zijn het erover eens dat het CCV-pentestkeurmerk niet doet wat het zou moeten doen, maar ze durven zich niet online te uiten uit angst voor een negatieve backlash. Deze angst gaat gepaard met het idee dat tegen de governance-stroming in zwemmen zou betekenen dat ze het hele concept van regulatie moeten aanvliegen, en dit is een uitdaging waar nog niemand een goede oplossing voor heeft. De behoefte om overal keurmerken en regels voor te maken is een breder maatschappelijk probleem dat complexiteit creëert waar simplificatie nodig is.

Wat is het CCV?

Het CCV (Centrum voor Criminaliteitspreventie en Veiligheid) is in 2004 opgericht door het Ministerie van Justitie en Veiligheid om kennis en richtlijnen te centraliseren in samenwerking met het bedrijfsleven. Dit heeft gezorgd voor structurele verbeteringen in kwaliteitsnormen voor zaken zoals inbraakpreventie en brandveiligheid.

Het CCV-pentestkeurmerk is in 2021 geïntroduceerd om een acceptabel kwaliteitsniveau te garanderen voor pentestleveranciers. Naar eigen zeggen geeft het ondernemend Nederland "de zekerheid dat de aanbieder van de pentest goed werk levert". Er wordt getoetst op bedrijfsprocessen, rapportformaat en de certificaten van pentesters.

De drie kernactiviteiten van het CCV zijn:

• Informatievoorziening, kennisverspreiding en procesbegeleiding
• Instrumentontwikkeling
• Faciliteren en stimuleren van samenwerking

Het pentestkeurmerk valt onder instrumentontwikkeling.

Wat zijn de positieve ervaringen?

Een pentestbedrijf vertelde mij dat het keurmerk helpt bij marketing. Het verkoopt goed, en bij aanbestedingen krijg je voorrang. Een overheidsmedewerker zei dat het keurmerk aan de andere kant van de aanbestedingstafel ook als positief wordt ervaren. "Omdat er ook heel veel scan cowboys zijn die echt geen clue hebben, en dan is zo'n certificaat iig nog iets van een kwaliteitsmeting". Toch had de medewerker het idee dat men erin is doorgeslagen. De toegestane certificaten zijn niet altijd relevant voor het type pentest dat wordt uitgevraagd, en het keurmerk geeft grote partijen een oneerlijk voordeel tegenover kleine ondernemingen.

Wat zijn de voornaamste kritiekpunten op het keurmerk?

De voornaamste kritiekpunten zijn:

• De pentestcertificaten waar het keurmerk op leunt zeggen te weinig over de kwaliteit van dienstverlening.
• Het pentestbedrijf moet klantnamen, planning en pentestrapporten delen met auditors, en sommige auditbedrijven leveren zelf ook pentestdiensten.
• De proceseisen verstoren het pentestproces en zitten innovatie in de weg.

Waarom kan het pentestwerk niet adequaat met een keurmerk worden afgekaderd?

Computersystemen zijn onveilig door de wildgroei van IT-ontwikkeling. Kwetsbaarheden komen logisch voort uit de complexiteit die dit creëert, en daarom is pentesten (het vinden van kwetsbaarheden) er een verlengde van. Zolang we niet in control zijn van deze groei, kan het pentestwerk niet adequaat worden afgekaderd.

Op de CCV-kwalificatielijst staan 16 certificaten waarvan elk het basisniveau van de pentester moet garanderen. De niveaus en skillsets verschillen echter behoorlijk. De meeste certificaten leggen de focus op netwerkbeveiliging (zoals OSCP), maar je komt er ook door met "Certified Bug Bounty Hunter", "macOS Control Bypasses" of "Windows Exploit Development". Een van de 16 certificaten is specifiek voor webbeveiliging. De certificaten in de kwalificatielijst geven een bepaald niveau van technische bekwaamheid aan, maar het is een belediging voor een doorgewinterde pentester om hier het onderscheid te maken.

Voor de meeste geavanceerde pentestvaardigheden is geen certificaat te halen, of er staat geen certificaat voor op de kwalificatielijst. Voorbeelden van onderwerpen zijn mobile apps, embedded systems, reverse engineering, OT, mainframe, cloud, DevOps, cryptografie, layer 2, AI en purple-diensten waar pentesters samenwerken met andere teams.

Er zijn honderden pentestdiensten te bedenken. Het CCV-certificeringsschema noemt er negen. Opvallend zijn wifi, fat-clients en mobile apps. Geen van de goedgekeurde certificaten behandelt deze onderwerpen. Van de vele OffSec-certificaten op de lijst staat het enige Offsec-certificaat dat wat over wifi leert (OSWP) er niet tussen. Het document geeft zelf het probleem al aan; pentesten is een koepelbegrip, en er bestaat geen certificaat dat een basis legt voor alle onderliggende expertises.

Welke verplichtingen heeft een pentestbedrijf naar auditors?

CCV-gecertificeerde pentestbedrijven moeten al hun klanten, met klantnaam en NAW-gegevens van een contactpersoon, invoeren in een online portaal. Ze moeten hierbij vermelden wat voor type opdracht ze uitvoeren en wanneer. Auditbedrijven kunnen vervolgens inzicht eisen in rapporten. Een auditor zit dan naast de pentester om het rapport in te zien, dit wordt niet verstuurd. Verder krijgt het pentestbedrijf een dossierplicht opgelegd. Dat betekent dat rapporten moeten worden bewaard.

Een van de gecrediteerde auditbedrijven is Dekra. Dekra biedt naast auditdiensten ook pentesten aan, en is daarmee een directe concurrent van de bedrijven die worden geforceerd om hun klantenbestand en business flow te delen. Deze overduidelijke belangenverstrengeling wordt weggewimpeld met de claim dat ze vertrouwelijk met de informatie om zullen gaan.

Hoe zit het keurmerk het pentestproces in de weg?

Het CCV stelt dat een pentester zonder goedgekeurd certificaat begeleid moet worden. Zo vertelde een senior mobiel app pentester - zonder certificaat, want die bestaat niet - dat hij officieel onder supervisie van een OSCP-junior zonder mobile kennis zijn pentest moet uitvoeren. Het werken onder begeleiding werkt sowieso niet zoals in andere vakgebieden, want het euvel van het vak is dat niemand weet wat je moet doen. Ervaring dient daarom zwaarder te wegen dan een papiertje.

Het keurmerk eist ook een "record of actually executed tests", wat haaks staat op het creatieve werk. Een pentester doet maar wat; ze klikt op een knopje, probeert een login, etc. Alleen voor een kwartiertje hashcracken zou ik al 20 handelingen kunnen beschrijven. Al deze handelingen vastleggen verstoort het pentestproces en doet de werktijd fors oplopen.

De rapporteisen lijken te zijn opgesteld door infra-testers. IP-adressen moeten bijvoorbeeld worden vermeld, wat niet altijd aan de orde is. De eisen staan ook geen innovatieve samenwerking toe. Een van mijn klanten ontvangt graag korte pentestupdates via Slack. Ze vragen expliciet geen rapport, en komen zelf met een testplan. Deze samenwerking voldoet niet aan de rapportage- en procesverplichtingen van het CCV.

Wat zou het CCV beter kunnen doen?

Het CCV kan mijns inziens beter het pentestkeurmerk uitfaseren zodat de subsidie voor cyberveiligheid kan worden besteed aan effectievere middelen. Meer certificaten aan de lijst toevoegen gaat niet helpen, want het pentestwerk is te ingewikkeld. De initiatieven voor cyberveiligheid kunnen beter worden gemigreerd naar de twee andere kerntaken van het CCV: kennisverspreiding en het stimuleren van samenwerking.

Van de afnemers die ik heb gesproken is de belangrijkste behoefte dat ze de 'scan cowboys' kunnen filteren van de bedrijven die tenminste iets van een degelijke pentestdienst kunnen leveren. Laat pentestbedrijven in hun offerte een case maken waarom een pentester geschikt is voor een test, en geef bedrijven de kennis om de case te toetsen. Maak ook duidelijk hoe complex het pentestvak is en dat niet overal een certificaat voor te halen valt.

Veel bedrijven maken overmatig gebruik van pentesten als security control. Het CCV zou advies kunnen geven over kostenbesparend beveiligingswerk. Voorbeelden zijn Threat Modeling en scenario-based pentesten. Verder is het redelijk makkelijk om zelf vulnerability scans uit te voeren. Bedrijven kunnen gratis een groot deel van de bevindingen achterhalen waar ze nu een dure pentest voor inzetten.

Het CCV zou van de rapportage-eisen een minimalistische open-source rapportagestandaard kunnen maken. Brenno de Winter heeft een begin gemaakt aan een "Methodiek voor Informatiebeveiligingsonderzoek met Auditwaarde" (MIAUW). De rapportagetemplate zou niet door mijn kwaliteitskeuring komen, maar het initiatief van een open source standaard is goud waard. Hou de standaard transparant en flexibel. Een pentestbedrijf kan de methodiek in een offerte benoemen, net als hoe nu wordt verwezen naar PTES voor pentestmethodiek, of de OWASP top-10 voor het categoriseren van bevindingen. Met goede referentierapporten voor verschillende typen pentesten kan een bedrijf beoordelen of de dienst die ze hebben afgenomen van kwaliteit is.

In plaats van een pentestkeurmerk zou ik het procesmatige deel onder een algemeen keurmerk laten vallen. Het enige concrete aan het CCV-pentestkeurmerk is de controle dat bedrijfsbeleid werkt volgens normen uit NEN‑EN‑ISO/IEC 17065. Laat dit dan ook het keurmerk zijn. Wat ik verder belangrijk vind is dat we afnemers kunnen garanderen dat pentesters een VOG hebben.

Het maatschappelijke probleem van overregulatie

Men heeft de behoefte om onze complexe wereld af te kaderen met regelgeving en keurmerken, terwijl dit vaak de complexiteit doet oplopen. Overregulatie is een maatschappelijk probleem.

De SER (Sociaal-Economische Raad) bracht in 2023 een rapport uit met advies om de krapte op de arbeidsmarkt terug te dringen. Een van de thema's was regeldruk, wat verwijst naar de ervaren druk door (onnodige) administratie en verantwoording. Door regeldruk te reduceren is bijna 2,5 miljard euro bespaard. SER adviseert om van tevoren te onderzoeken wat voor impact regelgeving heeft op het werkproces om onnodige uitgaven te voorkomen. Er is echter nog veel te verbeteren: "Naar schatting wordt zo'n 40 tot 50 procent van het zorgbudget niet aan directe patiëntenzorg uitgegeven". Het SER-rapport geeft ook aan dat governance-eisen zoals de AVG te streng worden geïnterpreteerd. De Staat van Uitvoering uit 2022 leest dat een strenge interpretatie van de AVG een belemmering vormt voor de gegevensuitwisseling in de zorg.

We zien dat de EU cyberveiligheid probeert te verbeteren met initiatieven zoals de AVG, NIS2, en een tal van andere regelgevingen. Dat ze de situatie proberen te verbeteren is natuurlijk wat er van ze verwacht wordt, maar de echte uitdaging is het terugdringen van de wildgroei in IT-ontwikkeling. Ik ben bang dat ze de wildgroei van tech in regelgeving aan het spiegelen zijn. Verbetering komt juist van sturing en simplificatie. Overregulatie zit het versimpelen in de weg.