Is een pentest vrijwaring nodig?

Pentest vrijwaring

Heb je voor een penetratietest (pentest) een vrijwaring of waiver nodig? Het korte antwoord, ja.

Het lange antwoord:

Omdat hacken in veel gevallen illegaal is heb je uiteraard toestemming nodig van de opdrachtgever. Maar alleen toestemming (mondeling of schriftelijk) is niet voldoende. In de meeste algemene voorwaarden staan waarschijnlijk al de nodige bepalingen waar je je klanten aan kunt houden. Dit is meer gericht op zaken zoals; zorgen dat jij de pentest ongestoord kunt uitvoeren en ze moeten je vrijwaren van claims van derden die door hun toedoen bij jou terecht komen. In een pentestwaiver ga je iets verder dan dit. Er wordt bijvoorbeeld expleciet toestemming verleend door alle betrokkenen om hun IT infrastructuur binnen te dringen door te hacken en dat hiervan geen aangifte zal worden gedaan. Als er tijdens de pentest een systeem omvalt, onbereikbaar wordt of er gaat data verloren zullen er geen juridische stappen worden genomen tegen de uitvoerder. Uiteraard zullen professionele pentesters er alles aan doen om uitval of dataverlies te voorkomen, maar niemand kan dit 100% uitsluiten. Vandaar dus een pentest vrijwaring of waiver. Zonder een goede pentestwaiver zul je dus terug moeten vallen op de algemene voorwaarden, die in de meeste gevallen de pentesters niet voldoende beschermen tegen onvoorziene gebeurtenissen.

Responsible Disclosure

Een uitzondering hierop zijn bedrijven die een zogenaamde responsible disclosure hebben. Hierbij geven bedrijven vooraf aan iedereen toestemming om kwetsbaarheden te vinden in hun IT omgeving. In de responsible disclosure staan dan de spelregels vermeld, want dit is geen vrijbrief om alles te hacken. Lees daarom dan goed door onder welke omstandigheden een bedrijf de responsible disclosure opstelt. Als je je aan deze regels houdt en een zwakheid vindt en meldt, is het uiteraard niet nodig om achteraf een pentestvrijwaring te tekenen.