Waarom het huidige CCV Keurmerk Pentesten de plank misslaat.
Als toonaangevend cybersecuritybedrijf in Nederland voeren wij jaarlijks meer dan 1000 pentesten en code reviews uit met een team van 30 ervaren hackers. Wij zijn dagelijks bezig met het blootleggen van kwetsbaarheden en het beschermen van organisaties tegen cyberdreigingen. Wanneer er nieuwe standaarden en keurmerken worden geïntroduceerd, kijken we kritisch of deze bijdragen aan échte kwaliteitsverbetering in de markt. Het CCV Keurmerk Pentesten doet dat niet. Het idee erachter ondersteunen wij, maar er valt nog veel te verbeteren. In de huidige vorm waarborgt het geen kwaliteit en belemmert het de innovatie in de markt.
We hebben het CCV-keurmerk behaald, maar eerlijk gezegd voelen we ons hierin gegijzeld. Overheids- en semi-overheidsorganisaties verwerken het keurmerk in aanbestedingen als een knock-outcriterium of een zwaarwegende factor, waardoor het haast onmogelijk wordt om zonder het keurmerk nog opdrachten binnen te halen. Grote corporates volgen steeds vaker dit voorbeeld. Het gevolg is dat wij, en andere aanbieders, min of meer verplicht worden om het keurmerk te behalen, ook al zijn we het niet eens met de huidige inhoud en invulling ervan.
Wat nog zorgwekkender is, is dat sommige concullega’s actief lobbyen om het keurmerk als vereiste op te nemen in aanbestedingen. Wanneer het keurmerk niet in een tender wordt vermeld, stellen ze vragen of bellen ze de aanbestedende partij om het alsnog als eis op te nemen. Dit zet de markt onder druk en maakt het lastig voor innovatieve pentestbedrijven om zich te onderscheiden op basis van kwaliteit en creativiteit, in plaats van een formeel certificaat.
Een keurmerk zonder inhoudelijke kwaliteitswaarborg
Het CCV-keurmerk controleert vooral of de randvoorwaarden van een pentest op orde zijn. Dat betekent dat het kijkt naar het proces, niet naar de daadwerkelijke kwaliteit van de pentest zelf. Maar een goed proces garandeert geen goede pentest. Pentesten is een creatief vak. Het vereist ervaring, analytisch vermogen en conceptueel denken.
Het ontbreken van certificaten betekent niet dat een pentester onbekwaam is. Een certificaat toont aan dat een tester op een bepaald moment over specifieke kennis beschikte, maar biedt geen garantie over de huidige vaardigheden of geschiktheid voor een specifieke test. Een voorbeeld: een pentester met een eWPTX-certificering wordt volgens de CCV-richtlijnen als geschikt beschouwd, maar dit certificaat is uitsluitend gericht op webapplicaties. Dit zegt niets over de capaciteit om mobiele applicaties of interne infrastructuren te testen. Andersom geldt dat een pentester met een OSCP-certificaat, wat sterk focust op infrastructuur en exploitatie, niet per definitie bekwaam is in het testen van webapplicaties.
Daarnaast hebben wij junioren gezien met meerdere certificeringen die desondanks niet in staat waren een effectieve pentest uit te voeren. Tegelijkertijd hebben onze meest ervaren hackers – met 8+ jaar praktijkervaring – geen certificaten, maar leveren ze keer op keer het beste werk. Volgens het CCV-keurmerk zouden zij niet geschikt zijn. Dit toont aan dat er ruimte is voor verbetering in de kwaliteitsborging van het keurmerk.
"Bekwaamheid" is lastig in te kaderen. Certificeringen kunnen een nuttige indicator zijn, maar vertellen slechts een deel van het verhaal. De huidige CCV-eis op dit vlak is beter dan géén controle, maar nog verre van een betrouwbare maatstaf voor kwaliteit. Een betere aanpak zou zijn om een mix van certificeringen, ervaring en bewezen vaardigheden – bijvoorbeeld via peer reviews of praktijkdemonstraties – een grotere rol te laten spelen in de beoordeling van pentesters.
Een auditproces zonder waarborg voor pentestkwaliteit
Het auditproces binnen het CCV-keurmerk probeert de kwaliteit van rapportages en tests te beoordelen door mee te kijken tijdens het testen en door de rapportages door te nemen. Er is echter geen eis vanuit het CCV dat een auditor zelf pentestervaring moet hebben. Dit maakt het uiterst moeilijk om inhoudelijk te beoordelen of een pentest daadwerkelijk goed is uitgevoerd. Zonder diepgaande praktijkervaring kan een auditor enkel op best effort basis een inschatting maken, zonder dat dit een objectieve kwaliteitsgarantie biedt. Dit leidt tot een situatie waarin beoordelingen voornamelijk op procesmatige richtlijnen zijn gebaseerd, zonder inhoudelijke zekerheid over de daadwerkelijke effectiviteit van de pentest. Dat lijkt ons niet de bedoeling en toont ook hier aan dat er ruimte is voor verbetering.
Een model dat innovatie belemmert
Het huidige model van het CCV-keurmerk zorgt niet alleen voor een belemmering van innovatie, maar zelfs voor een drempel voor nieuwe innovatieve organisaties tot de pentestmarkt. In een digitale wereld die razendsnel verandert en waarin AI een steeds grotere rol speelt, kunnen we ons niet blindstaren op oude patronen en vaste standaarden. Cyberdreigingen evolueren continu, en dat betekent dat onze aanpak ook voortdurend moet meebewegen. Om het kat-en-muisspel met aanvallers te winnen en de digitale wereld zo goed mogelijk te beschermen, moeten we innovatie omarmen in plaats van afremmen.
Bij Securify hebben we een Continuous Pentesting Platform ontwikkeld, waarmee we organisaties in real-time inzicht geven in hun kwetsbaarheden. Dit model werkt met een korte feedbackloop naar stakeholders zoals ontwikkelaars, CISO’s en product owners. In plaats van eens per jaar een pentest met een statische rapportage, testen wij elke sprint op nieuwe kwetsbaarheden en rapporteren alleen de bevindingen. Geen overbodige managementsamenvattingen of andere standaard hoofdstukken die in een stoffige la belanden. De focus bij de klant ligt op snelheid en innovatie, zonder dat security blokkerend werkt.
We zien in de markt dat steeds meer organisaties interne security-expertise opbouwen. Hierdoor groeit de behoefte aan snelle, directe feedback over kwetsbaarheden, in plaats van uitgebreide rapportages die achteraf worden opgeleverd. Dit vraagt om een andere manier van werken en rapporteren. In de huidige vorm van het CCV-keurmerk wordt nog te veel waarde gehecht aan vaste rapportagestructuren, terwijl de toekomst van pentesten van hard- en software juist ligt in continue securityvalidatie en directe samenwerking met ontwikkelteams.
Het is daarom cruciaal dat het CCV-keurmerk meebeweegt met de ontwikkelingen in de cybersecuritymarkt. Innovatie mag niet gehinderd worden door rigide standaarden die geen recht doen aan de snelheid en flexibiliteit die moderne organisaties nodig hebben.
Belemmering door inflexibele rapportage-eisen
Een ander punt waar wij in de praktijk tegenaan lopen, is dat het CCV-keurmerk niet voldoende rekening houdt met de verschillende rapportagestandaarden die onze klanten hanteren. Grote corporates hebben vaak hun eigen, specifieke eisen voor rapportages. Inhoudelijk verandert er niets aan de uitvoering van de pentest – deze wordt altijd volgens ons standaardproces uitgevoerd, dat in lijn is met de CCV-richtlijnen. Toch kunnen deze rapportages niet worden meegenomen onder het CCV-keurmerk, simpelweg omdat de lay-out of structuur afwijkt. Dit terwijl deze organisaties wel om het CCV-keurmerk vragen. Hier ligt een kans om het keurmerk flexibeler en toekomstbestendiger te maken.
Een ordinair verdienmodel
Een CCV-keurmerk betekent dat een pentestleverancier per pentestrapport een bedrag van €5,80 moeten afdragen. Bij 1000+ pentesten per jaar loopt dat, naast de auditkosten, flink op. Dat dit keurmerk slechts de eerste is in een reeks aankomende keurmerken voor andere cybersecuritydiensten, bevestigt ons vermoeden: het gaat niet om kwaliteit, maar om inkomsten. Dit lijkt meer op een verdienmodel dan een serieuze poging om kwaliteit te waarborgen.
Mogelijke verbeteringen voor het CCV-keurmerk
Om het keurmerk daadwerkelijk bij te laten dragen aan betere pentesten en de innovatie niet te belemmeren, zien wij een aantal mogelijke verbeteringen:
- Verplichte pentestervaring voor auditoren – Alleen experts kunnen inhoudelijk beoordelen of een pentest goed is uitgevoerd.
- Overdracht van ruwe pentestdata – Hiermee kan de auditor beter inzicht krijgen in de diepgang en kwaliteit van de pentest.
- Flexibele rapportagevereisten – Kijk niet naar hoe een rapport eruitziet, maar of de pentest kwalitatief goed is uitgevoerd. Zorg dat het keurmerk innovatie in de pentestmarkt niet belemmert. Sta bijvoorbeeld toe dat verschillende rapportagestandaarden worden gebruikt, zolang de onderliggende pentestmethodiek aan de kwaliteitseisen voldoet.
- Ervaringsgericht kwalificatiemodel voor pentesters – In plaats van puur te kijken naar certificeringen, zou het keurmerk ook moeten erkennen dat pentesten een vaardigheid is die voornamelijk wordt ontwikkeld door ervaring. Een model waarin pentesters worden beoordeeld op een mix van certificaten, bewezen kennis en praktijkervaring – bijvoorbeeld door middel van peer reviews of demonstraties van eerdere werkzaamheden – zou een eerlijker en effectiever alternatief zijn voor het huidige certificeringsgerichte model.
Onze oproep: focus op échte kwaliteit
Wij begrijpen de intentie achter het CCV-keurmerk en zien het als een eerste stap naar kwaliteitsborging. Maar zoals het nu wordt geïmplementeerd slaat het de plank mis. Het mist inhoudelijke kwaliteitswaarborging en belemmert innovatie. Echte kwaliteit wordt niet bepaald door processen en checklists, maar door ervaring, creativiteit en diepgaande technische kennis.
Daarnaast vormt het keurmerk in zijn huidige vorm een drempel voor nieuwe, innovatieve organisaties en oplossingen. Start-ups en gespecialiseerde pentestbedrijven met vernieuwende technologieën en aanpakken kunnen moeilijker toetreden tot de markt als ze moeten voldoen aan een keurmerk dat vooral vasthoudt aan traditionele processen en rapportage-eisen. Dit is zorgwekkend, want juist innovatie en diversiteit in aanpak zijn essentieel om cybersecurity vooruit te helpen en organisaties effectief te beschermen tegen steeds geavanceerdere dreigingen.
Laten we gezamenlijk werken aan een keurmerk dat écht bijdraagt aan betere beveiliging én ruimte biedt voor vernieuwing. Een keurmerk dat kwaliteit waarborgt zonder innovatie te remmen of de toegang tot de markt onnodig te beperken
Laten we gezamenlijk werken aan een keurmerk dat echt bijdraagt aan betere beveiliging en innovatie in de pentestmarkt.