Dit zijn dé risico’s van pentesten

Pentesten worden ingezet om kwetsbaarheden in een computersysteem te vinden. Goed om te weten! Toch? In de praktijk brengen pentesten onverwachte risico’s met zich mee. Een opsomming van die risico’s en de belangrijkste tegenmaatregelen.

Whatever it is, the way you tell your story online can make all the difference.

Zoeken naar kwetsbaarheden

Een penetratietest (ook wel pentest) is bedoeld om kwetsbaarheden in computersystemen te vinden. Met toestemming van de te onderzoeken organisatie wordt ‘ingebroken’ in het systeem. Hiervoor worden pentesters of ‘ethical hackers’ ingezet.

Zo wordt de beveiliging van de systemen onderzocht. Kan er inderdaad worden ingebroken?

De tools die ‘echte’ hackers inzetten, worden gebruikt om dit te testen. Steeds meer organisaties kiezen voor een pentest. Temeer omdat de Algemene Verordening Gegevensbescherming (AVG) strenge eisen stelt aan de beveiliging van systemen die persoonsgegevens bevatten.

Waarom zijn pentesten niet zonder risico’s?

Pentesters blijken in de praktijk niet altijd veilig te werk te gaan. Uit onderzoek blijkt bijvoorbeeld dat informatie over ethische phishing pogingen waren opgeslagen in een semipublieke malware-omgeving. Ook de tools van de pentesters zijn in (semi)publieke omgevingen terug te vinden.

Daarnaast komen persoonsgegevens nog weleens op straat te liggen via pentesting.

Hier zit u natuurlijk niet op te wachten. Daarom is het zaak om duidelijke en goede afspraken te maken over de pentest, voordat deze plaatsvindt.

Whatever it is, the way you tell your story online can make all the difference.

Zo geeft u toestemming aan pentesters

Indien u een contract en/of algemene voorwaarden van een pentester krijgt voorgelegd, let dan goed op de bepalingen omtrent aansprakelijkheid, overmacht en schadevergoeding. Pentesters willen uiteraard niet aansprakelijk gesteld worden en tot schadevergoeding verplicht zijn, indien er iets mis gaat bij hun hackpogingen. Zij pogen dit dan ook in de contractbepalingen uit te sluiten.

Deze afspraken beschermen uw organisatie uiteraard niet. Het is dan ook van belang om dit te voorkomen aan de hand van onderstaande lijst van eisen aan uw pentester.

  • De uitvoering van de pentest moet geheel vastgelegd worden met een rapportageverplichting;

  • De uitvoering vindt plaats op professionele, zorgvuldige en vakbekwame wijze in overeenstemming met daarvoor geldende standaarden (denk aan: OWASP, ISSAF etc.);

  • Er mag geen gebruik worden gemaakt van middelen die mogelijk schade veroorzaken zoals DDOS-aanvallen;

  • De pentester moet in het bezit zijn van een certificaat voor ethical hackers, zoals het OSCP-certificaat;

  • Absolute vertrouwelijkheid/geheimhouding van informatie is geboden. Denk aan de informatie die de pentester te zien krijgt, maar ook aan de uitvoering en resultaten van de pentest. Stel hiertoe een contractbepaling op of een separate Non-disclosure Agreement (NDA). Koppel idealiter een boetebeding aan deze eis.

  • De pentester is en blijft verantwoordelijk en aansprakelijk voor een goede uitvoering van de pentest in overeenstemming met de daarover gemaakte afspraken.

Blijf op de hoogte

Op de hoogte blijven van deze en andere ontwikkelingen en actualiteiten? Abonneert u zich dan nu op de maandelijkse nieuwsbrief van ICT-advocatenkantoor Legalz.

Robert Grandia