Softwareontwikkeling gaat sneller dan ooit. Nieuwe updates volgen elkaar in hoog tempo op. Maar hoe houd je je digitale producten dan veilig? Dat kan met continuous pentesting – een doorlopende hacktest.
‘We herinneren ons allemaal nog de meest recente hacks uit het nieuws. Security-incidenten komen steeds vaker voor en zijn ingrijpender. Gegevens van grote groepen mensen liggen op straat, je bedrijf is voor de zekerheid tijdelijk offline, of erger. Dat wil je niet meemaken als bedrijf,’ vertelt David Vaartjes, medeoprichter van Securify. ‘Ik heb vroeger veel met ontwikkelteams gewerkt, onder andere bij een grote bank, en heb het aantal softwarereleases zien stijgen naar één per dag. Daar ontstond bij mij het bewustzijn dat je qua cyberveiligheid moet meebewegen met alle innovaties aan de ontwikkelkant. Heel lang ging het als volgt. Je gaat iets bouwen en als het af is bel je een bedrijf zoals wij en laat je hackers los op het product. Eventuele zwakheden pas je aan en dan ga je live. Eén pentest per jaar was heel normaal. Maar dat volstaat echt niet meer.’
Aantoonbaar continue grip op je digitale veiligheid
Waarom niet? ‘In een wereld waar Agile softwareontwikkeling de regel is en organisaties meerdere releases per maand of week draaien, kun je niet langer vertrouwen op een snapshot van de digitale veiligheid. In de periode tussen de momentopnames ontstaat namelijk een blinde vlek waarin kwetsbaarheden in de cybersecurity zich ongemerkt kunnen opstapelen. Bovendien is vroegtijdig opsporen tot dertig keer goedkoper dan fixen nadat je live bent gegaan.’ En dan is er nog een reden volgens Vaartjes: ‘Nieuwe regelgeving zoals de Europese Digital Operational Resilience Act, NIS2 en de Cyber Resilience Act vraagt dat je aantoonbaar continue grip hebt op je digitale veiligheid. En ook van bedrijven die niet onder de wetgeving vallen hoor ik dat ze een zorgplicht voelen omdat ze een goed bedrijf willen zijn.’
Continuous Pentesting
Securify heeft daar een antwoord op ontwikkeld: Continuous Pentesting. David Vaartjes legt het uit: ‘In plaats van één keer per jaar een statische rapportage op te leveren van een momentopname, testen we de software op nieuwe kwetsbaarheden terwijl die in ontwikkeling is, bij elke sprint en elke relevante codewijziging. We hebben technologie ontworpen om naadloos aan te sluiten bij een ontwikkelteam. We zijn als het ware geïntegreerd als virtuele collega die online meekijkt in de testomgeving, zonder de productieomgeving te verstoren. Dat levert onmiddellijk actiegerichte feedback op in de tools waarin ontwikkelaars werken en waarvan zij leren. Uniek is de combinatie van eigen AI-technologie om zo schaalbaar mogelijk te kunnen testen en menselijk contact met een teamspecialist die op de achtergrond betrokken is als security buddy.’ Als eindverantwoordelijke heb je via het security dashboard realtime inzicht in welke kwetsbaarheden er zijn gevonden en opgelost, van urgent naar minder urgent. Daarmee kun je op ieder moment intern en extern aantonen dat je in control bent wat betreft de digitale veiligheid van je producten. Continuous Pentesting voorkomt onaangename last minute verrassingen die projecten blokkeren en budgetten opblazen, en het maakt van cyberveiligheid een doorlopend proces dat meebeweegt met je innovatietempo. Organisaties die doorlopend testen, lopen niet langer achter de feiten aan. Ze hebben te allen tijde inzicht, voorkomen dure incidenten en bouwen structurele weerbaarheid op. Aanvallers wachten niet, dus waarom jij wel?
