Wie zich met penetration testing bezighoudt, weet dat hij zijn opdrachtgever een vrijwaring (pentest waiver) moet laten tekenen. Maar vaak zal de opdrachtgever niet de enige zijn wiens systemen geraakt worden door zo’n test. Wat nu wanneer de derde – bijvoorbeeld een hoster of cloudleverancier – merkt dat er een inbraak plaatsvindt?
Met een pentest waiver verklaart de opdrachtgever akkoord te zijn met een security-onderzoek waarbij ingebroken wordt in systemen en/of data wordt gekopieerd. Deze systemen of data kunnen ook derden betreffen, en iemand kan op zich niet namens anderen verklaren dat deze dat goed vinden. Dat is dus een probleem.
Een opdrachtgever kan echter wél namens zijn leveranciers of klanten dingen verklaren. Hij heeft immers een relatie met die partijen, en kan ze het dus gewoon vragen. Daarna kan hij de onderzoeker melden waar alle leveranciers en klanten wel of niet mee akkoord gaan.
Natuurlijk is het niet altijd wenselijk dat de opdrachtgever zijn leveranciers inseint. Denk aan een onderzoek waarbij de opdrachtgever wil weten of die leveranciers wel goed opletten bij een penetration. Maar waarom zou de pentest onderzoeker daar de negatieve gevolgen van moeten dragen?
Je kunt dit in de praktijk simpel oplossen door in de pentest waiver te zetten dat de opdrachtgever verantwoordelijk is voor het inlichten van opdrachtgevers en hij de onderzoeker vrijwaart en schadeloos stelt van alle claims van derden met betrekking tot het onderzoek. Dit kan worden uitgebreid met een onbeperkte plicht tot vergoeden van schade, van de uren om dit recht te breien tot en met desnoods de gederfde omzet door gemiste opdrachten wegens geen VOG meer hebben of het in hechtenis zitten na een arrestatie.
Uiteraard kun je als security-onderzoeker ook zelf overal waivers gaan halen maar het is nogal een lastige klus om te achterhalen wie jouw opdrachtgever allemaal inschakelt. Plus, als je er eentje vergeet draai jij er voor op. Het is dus het verstandigste dit bij de opdrachtgever te laten liggen.
