FAQ – Alles over de Kwetsbaarheidsscan

Een kwetsbaarheidsscan — ook wel vulnerability scan of netwerk scan genoemd — is een systematische analyse van uw IT-infrastructuur waarbij geautomatiseerde tools en menselijke expertise worden gecombineerd om beveiligingslekken, misconfiguraties en zwakke plekken te identificeren.

De scan controleert uw systemen op bekende kwetsbaarheden (CVE's) uit internationale databases zoals de National Vulnerability Database (NVD) en MITRE ATT&CK. Het eindresultaat is een gedetailleerd rapport met geprioriteerde herstelstappen.

Dit zijn twee verschillende maar complementaire beveiligingstesten:

• Vulnerability scan: Inventariseert en beoordeelt alle bekende kwetsbaarheden in uw netwerk systematisch. Niet-invasief, snel en breed.
• Penetratietest (pentest): Een ethische hacker probeert actief in te breken via gevonden kwetsbaarheden — precies zoals een echte aanvaller. Dieper, maar tijdsintensiever.

In de praktijk begint u met een vulnerability scan om een volledig beeld te krijgen, en volgt u eventueel op met een penetratietest voor de meest kritieke systemen.

Een vulnerability scan is geschikt voor vrijwel elke organisatie die afhankelijk is van IT-systemen — van kleine MKB-bedrijven tot grote enterprises. U heeft geen groot IT-team nodig om te profiteren van een scan.

In het bijzonder is een scan urgent voor organisaties die:

• Persoonsgegevens verwerken (AVG/GDPR-verplichting)
• Onder de NIS2-richtlijn vallen
• Klantdata, financiële data of medische gegevens beheren
• Verouderde systemen of software draaien
• Recent zijn gemigreerd naar de cloud

Cybersecurity-experts adviseren minimaal één keer per kwartaal, en direct na significante wijzigingen in uw IT-omgeving zoals:

• Een cloudmigratie of nieuwe systeemimplementatie
• Een fusie of overname
• Het aansluiten van nieuwe vestigingen of remote werkers
• Na een (poging tot) beveiligingsincident

Onder de NIS2-richtlijn is een aantoonbaar periodieke risicoanalyse verplicht. Quarterly scanning is daarvoor de minimumstandaard.

CVE staat voor Common Vulnerabilities and Exposures — een internationaal gestandaardiseerde lijst van publiek bekende beveiligingskwetsbaarheden. Elke kwetsbaarheid krijgt een uniek CVE-nummer (bijv. CVE-2024-21413) waarmee security-professionals wereldwijd over dezelfde kwetsbaarheid kunnen communiceren.

Elke CVE heeft een CVSS-score (0–10) die de ernst aangeeft. Onze database bevat meer dan 47.000 actieve CVE's. Tijdens een scan vergelijken we uw systemen met deze database en rapporteren we welke CVE's op uw netwerk van toepassing zijn.

De Common Vulnerability Scoring System (CVSS)-score is een getal tussen 0 en 10 dat de ernst van een kwetsbaarheid uitdrukt. Zo interpreteert u de score:

• 0.0 — Geen risico
• 0.1–3.9 — Laag: beperkt risico, geen urgente actie vereist
• 4.0–6.9 — Medium: oplossen binnen reguliere patchcyclus
• 7.0–8.9 — Hoog: snel oplossen, prioriteit geven
• 9.0–10.0 — Kritiek: directe actie vereist

In ons rapport staat bij elke bevinding de CVSS-score plus een uitleg van de werkelijke impact op uw specifieke omgeving.

We scannen alle activa die verbonden zijn met uw netwerk, waaronder:

• Servers (Windows, Linux, Unix)
• Werkstations en laptops
• Netwerkapparatuur (routers, switches, firewalls)
• Printers en andere randapparatuur
• IoT-apparaten
• Webapplicaties en API's
• VPN-toegangspunten en remote desktop-omgevingen

De exacte scope wordt vooraf in overleg vastgesteld.

In de praktijk komen we bij vrijwel elke organisatie een combinatie van de volgende kwetsbaarheden tegen:

• Verouderde software — systemen die geen updates meer ontvangen (end-of-life)
• Ontbrekende patches — bekende CVE's die niet zijn gedicht omdat updates zijn uitgesteld
• Open poorten — services die onnodig extern bereikbaar zijn (bijv. RDP op poort 3389)
• Zwakke encryptie — gebruik van verouderde protocollen zoals TLS 1.0 of SSL
• Standaardwachtwoorden — netwerkapparaten die nog fabrieksinstellingen gebruiken
• Misconfiguraties — te brede toegangsrechten, verkeerde firewall-regels
• EternalBlue (MS17-010) — nog steeds aanwezig bij veel organisaties

Een vulnerability scan is ontworpen om niet-invasief te zijn en heeft normaal gesproken geen merkbare impact op uw bedrijfsvoering. De scan genereert enig extra netwerkverkeer, vergelijkbaar met normaal gebruik.

Wij stemmen altijd vooraf met u af:

• De exacte scope en welke systemen worden gescand
• Het tijdstip (scans buiten kantooruren zijn mogelijk)
• Eventuele kritieke systemen die extra voorzichtig behandeld moeten worden

Ja. De NIS2-richtlijn (van kracht per oktober 2024) verplicht organisaties in essentiële en belangrijke sectoren tot een aantoonbare technische risico-analyse per artikel 21. Een professionele vulnerability scan is de erkende en directe invulling van deze verplichting.

Het HSSecure-rapport levert de volledige documentatie die toezichthouders verlangen, waaronder een activaregistratie, risicobeoordeling en gedocumenteerde herstelmaatregelen.

U valt waarschijnlijk onder NIS2 als uw organisatie:

• Meer dan 50 medewerkers heeft, of
• Een jaaromzet of balanstotaal boven €10 miljoen heeft, en
• Actief is in een aangewezen sector (energie, transport, banken, zorg, water, digitale infrastructuur, overheid, voedsel, chemie, maakindustrie, post of ruimtevaart)

Ook als u niet direct onder NIS2 valt, kunnen uw klanten of partners eisen dat u als toeleverancier aan NIS2-eisen voldoet. Neem contact op voor een vrijblijvend gesprek over uw situatie.

De sancties zijn aanzienlijk:

• Essentiële entiteiten: tot €10 miljoen of 2% van de wereldwijde jaaromzet (het hoogste bedrag geldt)
• Belangrijke entiteiten: tot €7 miljoen of 1,4% van de wereldwijde jaaromzet
• Persoonlijke aansprakelijkheid: bestuurders en directeuren kunnen bij aantoonbare nalatigheid persoonlijk aansprakelijk worden gesteld

Naast financiële sancties kan de toezichthouder ook aanvullende maatregelen opleggen, waaronder tijdelijke schorsing van dienstverlening.

Ja. Ons rapport bevat een specifieke NIS2-compliancesectie die is opgesteld conform de documentatie-eisen van de richtlijn. Het rapport omvat:

• Activaregistratie van alle gescande systemen
• Risicobeoordeling per bevinding (conform artikel 21 NIS2)
• Gedocumenteerde technische beveiligingsmaatregelen
• Prioritering en herstelplan
• Ondertekend auditspoor voor toezichthouders

U ontvangt een volledig rapport met de volgende onderdelen:

• Managementsamenvatting — begrijpelijk voor directie en bestuur zonder technische kennis
• Geprioriteerde actielijst — gerangschikt op urgentie: kritiek → hoog → medium → laag
• Technische bevindingen — per systeem met CVE-referentie, CVSS-score en beschrijving
• Concrete herstelstappen — exacte instructies per kwetsbaarheid
• Activaregistratie — volledig overzicht van gescande systemen
• NIS2-compliancesectie — voor toezichthouders

De doorlooptijd hangt af van de omvang van uw netwerk:

• Klein netwerk (1–25 apparaten): 1 werkdag scannen, rapport binnen 3 werkdagen
• Middelgroot netwerk (25–100 apparaten): 1–2 werkdagen scannen, rapport binnen 5 werkdagen
• Groot netwerk (100+ apparaten): 2–5 werkdagen scannen, rapport binnen 7 werkdagen

Het rapport bevat concrete herstelstappen die uw eigen IT-team of IT-partner kan uitvoeren. Technisch advies bij complexe herstelstappen is op aanvraag beschikbaar. Rapportages kunnen ook rechtstreeks worden gedeeld met uw IT-partner.

Een aparte hertest is niet nodig. Omdat wij werken met een vaste scanningcyclus, worden kwetsbaarheden automatisch opnieuw beoordeeld bij de eerstvolgende geplande scan. Op die manier ziet u in het volgende rapport direct of de herstelmaatregelen effect hebben gehad.

De kosten worden bepaald door de omvang van uw netwerk, het aantal te scannen systemen en de gewenste diepgang. We hanteren transparante prijzen zonder verborgen kosten.

Om het in perspectief te plaatsen: de gemiddelde schade van een datalek in Nederland bedraagt meer dan €4,5 miljoen. Een vulnerability scan is een fractie van dat bedrag en kan aanzienlijke schade voorkomen.

Neem contact op voor een vrijblijvende offerte op maat.

Wij plaatsen een probe in uw netwerk. Dat is een klein apparaat dat lokaal in uw netwerk wordt aangesloten en vervolgens continu of periodiek scant. U hoeft geen VPN-toegang te verstrekken, geen toegangsgegevens aan te leveren en er is geen beveiligde externe verbinding nodig.

De probe communiceert veilig met ons platform en stuurt de scanresultaten door voor analyse en rapportage. Dit maakt de werkwijze eenvoudig, veilig en minimaal belastend voor uw organisatie.

Absoluut. We hanteren strikte vertrouwelijkheidsprotocollen:

• Alle communicatie tussen de probe en ons platform verloopt versleuteld
• Scanresultaten worden niet gedeeld met derden
• We tekenen desgewenst een geheimhoudingsovereenkomst (NDA)
• We werken conform de AVG/GDPR voor de verwerking van persoonsgegevens
• Toegang tot de rapportages kan worden verleend aan uw IT-partner

Na ontvangst van uw aanvraag nemen we binnen één werkdag contact op. Na akkoord op de offerte en het afstemmen van de scope, plannen we de scan doorgaans binnen 5 werkdagen in. Bij urgente situaties (bijv. na een beveiligingsincident) proberen we eerder te starten.

De voorbereiding is minimaal. Wij hebben alleen nodig:

• Een contactpersoon die technische vragen kan beantwoorden
• Een aansluitpunt in uw netwerk voor de probe (een vrije netwerkpoort)
• Informatie over eventuele kritieke systemen die extra voorzichtig behandeld moeten worden

Er zijn geen toegangsgegevens, VPN-instellingen of netwerkconfiguraties nodig. Als u geen documentatie heeft van uw netwerk, is dat geen probleem — de probe brengt dit automatisch in kaart.

Een vulnerability scan door een onafhankelijke partij is juist waardevol naast uw bestaande IT-partner. Wij bieden een objectief, extern perspectief op uw beveiliging zonder belangen bij de bestaande infrastructuur.

Uw IT-partner kan direct toegang krijgen tot de rapportages in ons platform, zodat zij de bevindingen kunnen inzien en de herstelstappen kunnen oppakken. Zo werken wij en uw IT-partner naadloos samen.