image

Juridische vraag: Wat zijn de voordelen van een pentest waiver ten opzichte van algemene voorwaarden bij security werkzaamheden?

woensdag 25 juli 2018, 13:31 door Arnoud Engelfriet, 16 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Als IT-consultant werk ik al jaren met het systeem van contractje en algemene voorwaarden. Nu doe ik sinds een tijdje ook specifieke securityklussen, en collega's in dit vakgebied wijzen me er nu op dat ik klanten dan een pentestwaiver moet laten tekenen. Maar is gewoon een duidelijke opdracht niet genoeg?

Antwoord: Zowel algemene voorwaarden als een pentest waiver beschermen je als opdrachtnemer. Een pentest waiver heeft vooral het voordeel dat hij explicieter en concreter is over het specifieke onderwerp van securityonderzoek.

Als het goed is, staan in je algemene voorwaarden al de nodige bepalingen waar je je klanten aan kunt houden: ze moeten de benodigde informatie geven, ze moeten zorgen dat jij het werk ongestoord kunt doen en ze moeten je vrijwaren van claims van derden die door hun toedoen bij jou op je bordje komen. Dit is generiek genoeg om ook claims van bijvoorbeeld leveranciers te pareren, en met een beetje goede wil ook om ze te dwingen je strafrechtadvocaat te betalen om vrijgesproken te worden van computervredebreuk.

Generiek is bij juridische zaken gelijk aan twijfelachtig en daarmee gelijk aan vele dure uren van juridisch advies en gebakkelei. Een pentestwaiver heeft als voornaamste voordeel dat dit er allemaal expliciet staat, zodat er minder discussie kan ontstaan. (Discussie tot nul reduceren is bij juristen onmogelijk.)

Een typische pentestwaiver vermeldt bijvoorbeeld expliciet dat er toestemming is van alle betrokkenen om hun infrastructuur te mogen binnendringen, en dat geen aangifte zal worden gedaan van vernieling van gegevens wanneer het pentest onderzoek door onzorgvuldigheid tot gegevensverlies leidt. Zo'n harde toezegging is erg handig om een aangifte of civielrechtelijke procedure direct te laten stranden.

Zonder een pentestwaiver moet je dus terugvallen op generieke teksten uit je algemene voorwaarden, en misschien krijg je dan wel het risico dat de klant zegt die nooit gekregen of geaccepteerd te hebben. Of hij stelt dat "het werk ongestoord doen" betekent dat hij een bureau en stoel moest leveren, maar niet dat hij bij leveranciers moest melden dat jij de gehele infrastructuur ging proberen binnen te dringen. En dan heb je een fors probleem als het misgegaan is met je opdracht en er een boze hostingleverancier aangifte heeft gedaan en tachtig man personeel een schadeclaim indienen wegens AVG overtredingen.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (16)
25-07-2018, 15:22 door Anoniem
Hoe meer je zaken explicieter vastlegt in contracten en voorwaarden, hoe groter het risico dat je op je eigen woorden gepakt kan worden.

Op meer antieke zaken in het recht kan dat zinvol zijn. Omdat er in de jurisprudentie al heel veel "te doen gebruikelijk" te vinden is. Waar een rechter op terugvalt in geval een overeenkomst ontbreekt of tekort schiet.

Over de IT bestaat nog weinig jurisprudrudentie. Zelfs wetgeving is op veel punten nog zwak.

Daarnaast kijken we te veel naar de USA. Ellenlange contracten. Die zijn bij ons helemaal niet nodig. Ons hele rechtsstelsel werkt anders. Met name op gebied van schadeclaims.

Als wetten zwak zijn, jurisprudentie vaak nog ontbreekt, dan wordt aansprakelijk gesteld worden ook lastig. En de kans om dat in hoger beroep ongedaan te maken groter. Terwijl bij cassatie de Hoge raad weer kijkt naar of een uitspraak wel op de wet gebaseerd is. Dus als dat rammelt, dan gaat een vonnis alsnog van tafel.

Er zijn natuurlijk weinig juristen die dit advies geven. Maar ik zelf leg liever zo min mogelijk vast. Want dan kan ik later nog alle kanten op.

"Dat had u toch moeten weten" kan een rechter niet gemakkelijk zeggen. Want het gaat vaak over juridisch onontgonnen gebied.
25-07-2018, 16:08 door Anoniem
Door Anoniem: Hoe meer je zaken explicieter vastlegt in contracten en voorwaarden, hoe groter het risico dat je op je eigen woorden gepakt kan worden.

Op meer antieke zaken in het recht kan dat zinvol zijn. Omdat er in de jurisprudentie al heel veel "te doen gebruikelijk" te vinden is. Waar een rechter op terugvalt in geval een overeenkomst ontbreekt of tekort schiet.

Over de IT bestaat nog weinig jurisprudrudentie. Zelfs wetgeving is op veel punten nog zwak.

Daarnaast kijken we te veel naar de USA. Ellenlange contracten. Die zijn bij ons helemaal niet nodig. Ons hele rechtsstelsel werkt anders. Met name op gebied van schadeclaims.

Als wetten zwak zijn, jurisprudentie vaak nog ontbreekt, dan wordt aansprakelijk gesteld worden ook lastig. En de kans om dat in hoger beroep ongedaan te maken groter. Terwijl bij cassatie de Hoge raad weer kijkt naar of een uitspraak wel op de wet gebaseerd is. Dus als dat rammelt, dan gaat een vonnis alsnog van tafel.

Er zijn natuurlijk weinig juristen die dit advies geven. Maar ik zelf leg liever zo min mogelijk vast. Want dan kan ik later nog alle kanten op.

"Dat had u toch moeten weten" kan een rechter niet gemakkelijk zeggen. Want het gaat vaak over juridisch onontgonnen gebied.

Kun je ook aangeven of je opinie enige waarde heeft ?

Ben jij jurist, of heb je jurisprudentie gezien waarin het ging zoals jij het zegt ?

Of ben je gewoon de zoveelste stronteigenwijze ITer die meent overal verstand van te hebben ?

t gaat goed totdat het fout gaat - en je gelijk krijgen/halen in een juridische procedure is over het algemeen tijdrovend en duur .

Ik denk dat Arnout een prima punt heeft - en het is _wel_ zijn expertise gebied dat bij een explicitiete waiver een tegenpartij bij een probleem er al niet aan begint, terwijl vertrouwen op heel generieke voorwaarden best een reden kan zijn om de zaak in te zetten.
25-07-2018, 18:17 door Anoniem
@Vandaag, 16:08 door Anoniem

Of ben je gewoon de zoveelste stronteigenwijze ITer die meent overal verstand van te hebben ?

Kun je misschien in plaats hiervan iets nuttigs zeggen zonder dat je iemand persoonlijk aanvalt? Beperk je tot geldige argumenten.

Ik denk dat de poster een punt heeft dat het expliciet opsommen van werkzaamheden een probleem zou kunnen vormen als er ook maar een beetje van wordt afgeweken. Het zal daarom dusdanig breed moeten worden verwoord dat alle werkzaamheden eronder vallen. Misschien kan Arnoud eens een keer iets uitleggen over hoe indemnity werkt in de EU en of dat kan worden gebruikt in dit geval. In de VS wordt het te pas en te onpas gebruikt.

Overigens kun je als opdrachtgever doorgaans (maar niet altijd) je geld beter besteden aan actieve beveiliging dan aan een standaard scan of een hacker met een verzameling scripts. Indekken is een belangrijke reden voor dit soort benaderingen, maar ik moet zeggen dat ik veel te vaak gezien heb dat dit gebeurt zonder dat eerst eens goed door een technisch specialist naar de beveiliging zelf wordt gekeken en actie wordt ondernomen. Vaak is die beveiliging er bijna niet, op een simpel packet filtertje na die alleen inkomend verkeer filtert en vrolijk alles naar buiten doorlaat na compromiteren. Ook de grote security bedrijven en organisaties letten hier onvoldoende op. Dat helpt dus weinig tegen targeted attacks (APT). Security dient meerlaags te zijn.
25-07-2018, 20:42 door karma4
Door Anoniem: .
Ik denk dat de poster een punt heeft dat het expliciet opsommen van werkzaamheden een probleem zou kunnen vormen als er ook maar een beetje van wordt afgeweken. Het zal daarom dusdanig breed moeten worden verwoord dat alle werkzaamheden eronder vallen. Misschien kan Arnoud eens een keer iets uitleggen over hoe indemnity werkt in de EU en of dat kan worden gebruikt in dit geval. In de VS wordt het te pas en te onpas gebruikt.
...
Je hebt een goed punt. Beveiliging door anderen laten nalopen gaat om de zaken die jij niet wist of verkeerde veronderstelling over deed. Juist dat gaat je niet lukken om vooraf vast te leggen. Een voorbeeld https://www.security.nl/posting/562583/Ethische+hacker+neemt+netwerk+gemeente+Arnhem+van+binnenuit+over Het testen van de voordeur is niet aan de orde als de achterdeur onverwacht wijd open staat. Hoe ga je met het onverwachte om?
26-07-2018, 00:06 door Anoniem
Is het al iemand opgevallen dat al die overeenkomsten (Nederlands woord), een Amerikaanse naam hebben? SLA, indemnity, pentest waiver (is dat iets om zwaaiend je balpen te testen of zo?), zelfs privacy statement en user conditions. Terwijl we toch in Nederland te maken hebben met de Nederlandse rechter en anders de Europese.

In onontgonnen gebied zijn juist GOEDE juristen buitengewoon belangrijk. Omdat die naar analogieën kunnen zoeken in bredere zin in het recht. En daarmee baanbrekend werk kunnen verrichten, waar we later allemaal wat aan hebben. Ook de vraag- en antwoord rubriek op deze site vind ik zeer waardevol! Vooral ook omdat er zoveel verwarring is met het Amerikaanse rechtsstelsel, dat voor ons helemaal niet van toepassing is

Het is echter ook van belang de goede van de slechte juristen te scheiden. Zo las ik vandaag, maar dan citeer ik uit de pers, dat in de geenstijl zaak de advocaat van het slachtoffer gewoon doodleuk zegt dat "de rechter heeft besloten dat embedden niet mag". Waarmee hij de uitspraak volledig uit zijn context trekt. Volgens mij heeft de rechter gezegd, "als je bewust gaat embedden op een site die een enorm publiek trekt, dan moet je je toch bewust zijn van de gevolgen van dat embedden.". Dat is iets heel anders dan dat een rechter even bepaalt welke HTML codes voortaan verboden zijn. Dat is echt een hele slechte, want volslagen onzorgvuldige jurist.Bij mij doet dat vermoeden dat hij meer van zulke lucratieve klantjes zoekt, omdat met zijn hulp halve browser-specs verboden kunnen worden in het belang van. Het is een vorm van liegen.

Mijn eigen punt, zowel boven, als hier herhaald is, vergeten we ons eigen rechtsstelsel niet te gemakkelijk. Dat Amerikaanse juristen zich rot pennen aan ellenlange regeltjes heeft een reden: Eén te hete kop kop koffie in een fastfood restaurant, die omvalt, kan gelijk een miljoenenclaim zijn. Zo werkt dat in onze beschaafdere rechtssystemen helemaal niet! Dat zie je ook uit de geenstijl uitspraak. In plaats van 450.000, wordt er maar 30.000 toegewezen. En gelijk gaan de wenkbrauwen omhoog, want dat is tien keer zoveel als een collega van de dame in kwestie toegewezen kreeg, waarbij dan ook nog echt bewijs was van diefstal van materiaal! Dit wijst er overigens ook op dat zelfs de rechter in de geenstijl zaak zich waarschijnlijk wat heeft laten meevoeren door Amerikaanse televisieseries en twittersessies van presidenten.

Zeeeeeeer zinvol, de vraag- en antwoord hier, dus. Want er wordt gewoon nog veel aangerommeld op juridisch gebied.

Verder de tip: "schrijf niet te veel op, want op al je eigen woorden kun je later worden gepakt", komt van een van mijn juristen. De prijs voor dat advies: Een Johnny Walker met veel ijs. Het zijn niet allemaal geldwolven, dat blijkt. Wél is het zo dat minder soms meer is, en een echte goede jurist die je op dat veilige spoor zet, wel wat meer waard is dan een borrel. Zeker als ze niet tegen de krant gaan kwekken dat ze embedden hebben laten verbieden door de rechter!
26-07-2018, 01:02 door Anoniem
Verschil tussen goed en slecht juridisch advies op IT gebied, een analogie:

Je komt bij de dokter en het lijkt erop dat je iets mankeert wat een nog onbekende ziekte is.

Een goede dokter gaat dan, als wetenschapper, juist extra op zoek. Er zijn nogal wat aandoeningen naar dokters vernoemd, die ze als eersten opspoorden en wisten te behandelen. Erekwestie. Ondanks dat je ziek bent, kan het voor de dokter zelfs leuk en uitdagend zijn. Eindelijk eens wat anders dan griep en al die andere kwalen. Maar ook naar jou toe open. En voorlopig helpen met symptomen te bestrijden. Kijken of het op bekende ziektes lijkt. Dat werk.

Een slechte dokter is iemand die dan zegt, weet je wat, ga naar de apotheek, en slik maar àlle pillen die ze hebben. Er zal er toch wel eentje tussen zitten die helpt?

Voor mij is het met juristen op IT gebied niet anders. En moet je vooral niet alles slikken.... ;-)
26-07-2018, 08:29 door Anoniem
Is het nu "pentestwaiver" of "pentest waiver"? Het varieert nogal in dit verhaal.
26-07-2018, 11:31 door MathFox
Door Anoniem: Hoe meer je zaken explicieter vastlegt in contracten en voorwaarden, hoe groter het risico dat je op je eigen woorden gepakt kan worden.
...
"Dat had u toch moeten weten" kan een rechter niet gemakkelijk zeggen. Want het gaat vaak over juridisch onontgonnen gebied.
Je hebt als pentester of veiligheidsonderzoeker ook een informatieplicht aan je opdrachtgever, je moet namelijk de risico's van de tests bespreken en de opdrachtgever moet aangeven dat hij die risico's acceptabel vindt voor zijn bedrijfsvoering. Als je dat niet goed doet kun je aansprakelijk gesteld worden voor de bedrijfsschade van je opdrachtgever. Het is goed om de vooraf gemaakte afspraken beknopt op papier te zetten zodat je achteraf geen discussie meer hoeft te hebben over wat er nu besloten is.
26-07-2018, 12:12 door Anoniem
Hoe meer je zaken explicieter vastlegt in contracten en voorwaarden, hoe groter het risico dat je op je eigen woorden gepakt kan worden.

LOL. Jij bent duidelijk geen jurist.... ;)
26-07-2018, 14:51 door Anoniem
Alle overeenkomsten, opgemaakt in Nederland moeten geschreven zijn in het Nederlands. Waar het civielrecht betreft is zelfs een beëdigde vertaling van geen enkele waarde. Dus als je een rechtgeldige overeenkomst opstelt met als titel "pentest waiver" dan staat er juridisch gezien niks. Ook als de overeenkomst zelf bol staat van Engelse kreten, dan zou de hele overeenkomst wel eens ongeldig kunnen zijn. Dit is onafhankelijk van hoe goed een rechter het Engels beheerst.

Binnen Europa gaat het nog relevanter worden in EU overeenkomsten omdat na de Brexit het Engels geen EU taal meer gaat zijn. Enkel op Malta, waar naast het Maltees ook het Engels als wettelijke taal geaccepteerd is. Als ik het goed heb.

Als iemand je op Nederlandse bodem een contract aanbiedt in een vreemde taal kun je dat in principe gewoon lachend tekenen. Wat van nul en generlij waarde. Prullie.
26-07-2018, 16:21 door MathFox
Door Anoniem: Alle overeenkomsten, opgemaakt in Nederland moeten geschreven zijn in het Nederlands.

Als iemand je op Nederlandse bodem een contract aanbiedt in een vreemde taal kun je dat in principe gewoon lachend tekenen. Wat van nul en generlij waarde. Prullie.
In de jurisprudentie (uitspraken.rechtspraak.nl) vind ik tal van voorbeelden van contracten opgesteld in vreemde talen die voor de Nederlandse rechter afgedwongen worden. Ik weet niet waar jij jouw bewering op baseert.
26-07-2018, 18:50 door Anoniem
Op het simpele feit dat geen rechter van mij kan eisen dat ik vreemde talen (tot in de puntjes...) moet begrijpen. En al zou het zo zijn, dat ik niet verplicht ben om dat toe te geven als dat mijn belang zou kunnen schenden. Je bent nooit verplicht bewijs tegen jezelf te leveren als je de enige bent die dat kunt bevestigen, terwijl het je eigen belang schaadt.

De rechter zelf is ook niet verplicht buitenlandse talen tot in de puntjes te beheersen. Daarom stelt elke grondwet vast wat de wettelijke taal van een land is.

Als er in jurisprudentie overeenkomsten in vreemde taal door rechters toch als bindend zijn behandeld, dan kan dat niet anders zijn dan dat de rechter eerst heeft gevraagd of beide partijen de inhoud tot op de punt en komma begrepen hebben. Als je dan ja zegt, terwijl je al voelt dat je daarna hangt, dan is dat niet handig geweest. C.Q. dan ben je juridisch niet helemaal goed bijgestaan.

In de Tweede Kamer wordt toch ook geen Engels gesproken? Of Maltees? Nederlands moet het zijn. Geldt trouwens ook als je een website raadpleegt en OK klikt als je dat Frans niet verstaat. Of Pools. het gaat dan niet eens om een overeenkomst die een rechter zou kunnen ontbinden, maar gewoon om een overeenkomst die nooit bestaan heeft.

Als een politieman "doorlopen" zegt, is dat een wettig bevel. Als hij zo lief is om een toerist uit te leggen wat dat betekent in het Oezbeeks, prima en aardig. Gastvij. Maar als hij het enkel nog in het Engels zou zeggen, "throughwalking!" (hihi) of zelfs "joe ar under arrest", dan is er wettelijk geen bevel gegeven.

In Nederland hoort alles met juridische consequenties in het Nederlands te zijn. Net als de wet zelf. Is ook belangrijk, want ga je dat vertalen, dan zijn er weinig woorden die in een andere taal ook echt exact en uitsluitend het zelfde betekenen.

Andersom is trouwens ook waar. Als je in Griekenland een overeenkomst sluit met een andere Nederlander, en de hele tekst is in het Nederlands, ook waardeloos. Daarom staat onder een contract ook niet enkel datum, maar ook plaats. Is er gedonder, dan moet je ook met dat contract bij de Griekse rechter zijn. En die zal zeker lekker verplicht zijn om eerst een cursus perfect Nederlands te gaan volgen zeker? Gaat dus ook gewoon de prullie in.

Een contract wat niet Nederlandse woorden bevat (tenzij opgenomen in de Dikke Van Dale), en in Nederland gesloten, daar kun je de achterkant van gebruiken om de punten met Yatzee op te schrijven. Meer zijn ze niet waard.

Echt dames en heren, u bent te veel onder de indruk van Darth Vader, Disneyworld en andere imponerende kretologie. Dat heeft hier geen enkele juridische waarde. At least learn what "toedeledokie" means!
26-07-2018, 20:14 door Anoniem
Vrijwaringsverklaring om niet beschuldigd te wordn van computervredebreuk. Altijd doen als beveiligingstester.

Er kan van alles misgaan, zoals overschrijven van data (tja, als de te testen partij geen aparte testomgeving heeft die gelijk is aan zijn productieomgeving...).
26-07-2018, 20:50 door MathFox - Bijgewerkt: 26-07-2018, 20:51
Beste Anoniempje;

Als jij vindt dat jouw mening de wet moet zijn wens ik je dat je daarin niet te hard in teleurgesteld zult worden.

Ik ga niet verder off topic nu.
26-07-2018, 21:00 door Anoniem
Er staat helaas, MathFox, ook in de wet dat elke Nederlander geacht wordt om de wet te kennen. Ook dat kan een schok zijn voor je. Maar voor Amerikanen nog meer.

Er staat gewoon in de wet dat in Nederland de Nederlandse taal de enige wettige taal is. Het leuke van wetten is dat je daar weliswaar een mening over kunt hebben maar wet blijft wet. Kun je alleen met je stemrecht beinvloeden. Dus niet met een poll. Of viral gaan. Of een miljoen laaiks.

Zelfs met die geenstijl uitspraak kan ik gewoon "embedden" op mijn sites. Want ik word niet geacht te weten wag dat betekent. Staat niet in ons woordenboek.
26-07-2018, 22:41 door Anoniem
Door Anoniem: @Vandaag, 16:08 door Anoniem

Of ben je gewoon de zoveelste stronteigenwijze ITer die meent overal verstand van te hebben ?

Kun je misschien in plaats hiervan iets nuttigs zeggen zonder dat je iemand persoonlijk aanvalt? Beperk je tot geldige argumenten.

Dat stond in het stuk dat je hebt weggeknipt - de vraag cq uitdaging waar de anonieme poster op een IT security forum zich op baseert met een stelling/advies op een juridisch onderwerp dat het tegenovergestelde is van wat een jurist op (met specialisatie ICT-recht) geschreven heeft .


Ik denk dat de poster een punt heeft dat het expliciet opsommen van werkzaamheden een probleem zou kunnen vormen als er ook maar een beetje van wordt afgeweken. Het zal daarom dusdanig breed moeten worden verwoord dat alle werkzaamheden eronder vallen. Misschien kan Arnoud eens een keer iets uitleggen over hoe indemnity werkt in de EU en of dat kan worden gebruikt in dit geval. In de VS wordt het te pas en te onpas gebruikt.

De poster dacht ook al dat er weinig jurisprudentie was over ICT omdat het een 'nieuw' gebied zijn.
Dat je alles uitputtend en limiterend zou moeten opsommen is vooral een kenmerk van Amerikaans recht - maar daaruit de tegengestelde conclusie trekken dat je _dus_ het beste af met zeer fuzzy algemene voorwaarden volgt daar helemaal niet uit.

Op moment dat je bij de rechter tegenover je klant komt staan is er hoe dan ook een heleboel misgegaan - en je verdediging bestaat dan min of meer uit de stelling dat je niks feitelijk fout gedaan hebt maar dat zulke dingen nu eenmaal kunnen gebeuren , en dat de klant dat wist cq had moeten/kunnen weten en het risico geaccepteerd heeft .

(als je wél beroepsfouten gemaakt hebt, tsja, daar is niet tegen aan te waiveren) - de rechter wil nog wel eens de professionaliteit van opdrachtgevers meewegen - dwz, de eigen verantwoordelijkheid van een groot bedrijf of overheid om iets te weten ligt hoger dan van een consument . Maar hoe dan ook wordt van de ingehuurde expert meer verwacht dan van de klant , mbt tot kennis van haalbaar resultaat en risico's van z'n werk.

Dan sta je - m.i. - IANAL - als expert toch erg zwak als je niet kunt bewijzen dat je de klant gewezen hebt op beperkingen en risico's van de opdracht . Een getekende waiver is een prima bewijs.
Hoe uitputtend die moet zijn kun je beter aan een echte jurist vragen , maar denken dat je _zonder_ dat beter af bent is wel heel opmerkelijk. Met name als pentest waivers nogal gebruikelijk zijn.
Het zou mij weinig verbazen als het ontbreken van dergelijke schriftelijke afspraken je aardig op weg helpt om de zaak te verliezen op basis van wanprestatie. (analoog aan het ontbreken van boekhouding bij aan faillisement 'kennelijk onbehoorlijk bestuur' oplevert , en daarmee persoonlijke aansprakelijkheid voor de de bestuurders van BV.)


Overigens kun je als opdrachtgever doorgaans (maar niet altijd) je geld beter besteden aan actieve beveiliging dan aan een standaard scan of een hacker met een verzameling scripts. Indekken is een belangrijke reden voor dit soort benaderingen, maar ik moet zeggen dat ik veel te vaak gezien heb dat dit gebeurt zonder dat eerst eens goed door een technisch specialist naar de beveiliging zelf wordt gekeken en actie wordt ondernomen. Vaak is die beveiliging er bijna niet, op een simpel packet filtertje na die alleen inkomend verkeer filtert en vrolijk alles naar buiten doorlaat na compromiteren. Ook de grote security bedrijven en organisaties letten hier onvoldoende op. Dat helpt dus weinig tegen targeted attacks (APT). Security dient meerlaags te zijn.

Dat zeker, maar pentest is ook een enorm containerbegrip. Soms is het een moetje voor de auditor, soms een breekijzer omdat verbeterbudget wel vrijkomt als de pentest helemaal rood was maar niet als de IT afdeling voorstellen doet , en soms is het een bijzonder nuttig instrument als extra paar ogen, of out of the box denken waar een verder serieus opgezette beveiliging net even blind voor was, gewoon een foutje dat over het hoofd gezien was.

Maar goed, dat is een andere discussie - als (actieve) pentester doe je een aantal dingen met risico - risico voor jezelf omdat ze verboden kunnen zijn zonder toestemming van de betrokke, en met risico voor de continuiteit van IT diensten/systemen/processen .
Ook al moeten ze er in theorie tegen kunnen, en had een ander het ook kunnen doen, op dat moment doe jij als pentester dingen die een storing kunnen veroorzaken . En als (ervaren) pentester _weet_ je dat zo'n storing _zou_ kunnen gebeuren.
Niet altijd weet je het zeker wanneer bij welk systeem, maar je hebt je set van ervaringen van dingen die gebeurden bij een pentest . De keus om dat risico te nemen is aan je klant - maar aan jou is het om de klant te vertellen _dat_ er een bepaald risico is.
En je doet er goed aan om dat soort afspraken duidelijk op papier te hebben.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.