In veel organisaties is de penetratietest een vast ritueel geworden. Eén keer per jaar komt er een externe partij langs. Er wordt wat rondgekeken, er verschijnt een rapport vol bevindingen, een paar quick wins worden opgepakt en daarna kan het dossier weer dicht. Tot volgend jaar.
Iedereen tevreden. De auditor ook.
Het probleem is alleen dat dit weinig te maken heeft met echte weerbaarheid. Een pentest die wordt uitgevoerd als afvinkmoment is geen securitymaatregel, maar een voorstelling. Net spannend genoeg om serieus te lijken, strak geregisseerd, met een voorspelbare afloop.
Een pentest zou geen checklist moeten zijn. Het is geen momentopname met een vooraf dichtgetimmerde scope, bedoeld om vooral niets te vinden dat ongemakkelijk is. Een goede pentest laat zien waar je écht kwetsbaar bent. En dat gaat zelden alleen over die ene applicatie of server die toevallig getest wordt.
Echte aanvallers houden zich niet aan je testscript. Ze kijken niet naar wat er “in scope” is afgesproken. Ze zoeken naar zwakke schakels in de keten. Oude accounts die nooit zijn opgeschoond. Vergeten API’s die nog ergens draaien. Koppelingen met leveranciers waar niemand eigenaarschap voor voelt. Precies die plekken die vaak buiten de jaarlijkse pentest vallen, omdat ze lastig zijn of organisatorisch gevoelig liggen.
Daar wringt het. Veel pentests meten vooral hoe goed een organisatie zichzelf heeft afgebakend. Niet hoe groot het aanvalsoppervlak werkelijk is. Als je alleen test wat je durft te laten testen, krijg je een geruststellend beeld dat weinig zegt over de praktijk.
De echte waarde van een pentest zit niet in het aantal bevindingen of de ernstscores in het rapport. Die waarde zit in wat je ermee doet. Of je patronen herkent. Of je structurele oorzaken aanpakt in plaats van symptomen. Of je bereid bent om pijnlijke conclusies te trekken over architectuur, beheer en governance.
Kwetsbaarheden verdwijnen zelden door alleen een finding te fixen. Ze komen voort uit keuzes. Gebrek aan segmentatie. Achterstallig patchmanagement. Onheldere verantwoordelijkheden rond identity en access. Een pentest die dat niet raakt, is hooguit technisch interessant, maar strategisch leeg.
Daarom is een pentest op zichzelf nooit genoeg. Het is een meetinstrument, geen oplossing. Zonder volwassen securitymodel eromheen blijft het een momentopname. Met zo’n model wordt het een spiegel. Niet voor de auditor, maar voor de organisatie zelf.
Pentesten zijn waardevol, mits ze onderdeel zijn van een continu proces. Waarbij scope niet wordt gebruikt om risico’s te verstoppen, maar om ze gericht bloot te leggen. Waarbij bevindingen leiden tot structurele verbeteringen en niet tot cosmetische fixes.
Doe je dat niet, dan test je vooral hoe goed je toneelstuk is ingestudeerd. En dat is misschien geruststellend voor het rapport, maar niet voor de volgende echte aanval.