Uit een rapport van Blackberry vorige week blijkt dat penetratietesten bepaald niet ongevaarlijk zijn. Van hackers die zich voordoen als pentesters tot bewaarde klantgegevens in semipublieke databases op het web. Een overzicht van de risico’s van pentesten en dé manieren om uw organisatie hiertegen te beschermen.
Wat is een pentest?
Een penetratietest of pentest wordt ingezet om kwetsbaarheden in computersystemen te vinden. Het verschil met een audit is dat deze kwetsbaarheden vervolgens worden gebruikt om in een systeem in te breken.
Uiteraard met toestemming van de organisatie in kwestie.
Deze test wordt vaak ingezet om de beveiliging van een of meer systemen van een organisatie te onderzoeken. Als er met toestemming ingebroken kan worden, dan lukt dat zonder toestemming immers ook.
De pentester of ethical hacker gebruikt speciale tools om in te breken in het systeem. Deze tools worden vaak ook gebruikt door kwaadwillende hackers om de situatie zo goed mogelijk na te bootsen. Uit een onderzoek van onder meer Britse en Amerikaanse veiligheidsinstanties in 2018 blijkt nog dat diverse, algemeen toegankelijke tools worden gebruikt door hackers in wereldwijde cyber incidenten.
Penetratietesten komen overigens steeds vaker voor. Mede door de AVG, die strenge eisen stelt aan de bescherming van persoonsgegevens en de beveiliging.
De risico’s van penetratietesten
Het BlackBerry Cylance Threat Intelligence Team bracht afgelopen week een rapport uit met de naam ‘Thin Red Line: Penetration Testing Practices Examined’ Een rapport dat aantoont dat penetratietesten niet zonder risico’s zijn.
Het meest schokkende uit het rapport is de vondst van een Braziliaanse firma die niet alleen lijkt te opereren als ‘legale’ beveiligingsorganisatie, maar ook actief blijkt te zijn als kwaadwillende hacker. Deze organisatie publiceerde onder meer vertrouwelijke informatie van een luchtverkeersleiding in een semipublieke malware-omgeving.
Daarnaast bleken ze meerdere ‘backdoors’ (eigen ingangen in computersystemen) te hebben gecreëerd en deze open te hebben gelaten voor geregelde bezoekjes. Een erg dunne lijn tussen ethisch en kwaadwillend hacken dus.
Overigens bleken ook de gerenommeerde, betrouwbare pentesters niet altijd veilig te werk te gaan. Zo kwamen de onderzoekers documenten over ethische phishing pogingen van pentester tegen in semipublieke malware-omgevingen. Met daarin de naam van ‘gehackte’ organisaties en de namen, functies en contactgegevens van medewerkers.
Ook de tools waarmee de pentesters hun onderzoeken uitvoeren zijn vaak terug te vinden in (semi)publieke omgevingen.
Wat nu?!
Dit rapport is geen goed nieuws als uw organisatie inderdaad pentests laat uitvoeren. Het kan zijn dat u absoluut niet bekend wilt maken dat uw organisatie onderwerp is van een onderzoek naar kwetsbaarheden. Bijvoorbeeld omdat u kwetsbaarheden vermoedt of geen enkele suggestie hier omtrent naar de buitenwereld wilt wekken.
Daarnaast is het in het kader van de AVG zeker niet wenselijk dat persoonsgegevens op straat komen te liggen. Iets wat volgens dit onderzoek vrij vaak voorkomt.
Dan hebben we het nog niet over de kwaadwillende hackers die optreden als pentester. Laten we uitgaan van een uitzondering op de regel. Backdoors die open blijven staan of gevoelige gegevens die gelekt worden, zijn immers de nachtmerrie van elke organisatie.
Gelukkig zijn er manieren om uw organisatie te beschermen tegen deze risico’s.
Hoe?
Maak goede afspraken over de pentest
De ‘pentest waivers’ die wij in de praktijk nog wel eens onder ogen krijgen, zijn vaak vooral opgesteld om de pentester uit de problemen te houden. Daarin ligt dan de nadruk op het verkrijgen van expliciete toestemming van de opdrachtgever tot het uitvoeren van een pentest en afstand te doen van eventuele schadeclaims en andere rechten. Dit om te voorkomen dat de pentester strafrechtelijk vervolgd kan worden voor het inbreken in een systeem van een ander.
Uit het onderzoek van Blackberry blijkt maar weer dat het voor de organisatie tegen wiens systeem de pentest is gericht, minstens zo belangrijk is om goede afspraken te maken. Bijvoorbeeld over de eisen die de organisatie stelt aan de pentester en aan de wijze waarop de test wordt uitgevoerd en gegevens worden bewaard.
Hieronder een overzicht van de 8 belangrijkste eisen aan en te maken afspraken met pentesters.
Leg schriftelijk de afspraken vast tussen de uitvoerder van de pentest, de opdrachtgever en – als dat een andere partij is – de partij wiens systeem het doel is van de pentest (denk aan het geval dat de afnemer een pentest van het systeem van zijn leverancier vraagt).
Eis dat de uitvoering van de pentest (volledig) gedocumenteerd wordt met een rapportageverplichting.
Leg vast dat de uitvoering op professionele, zorgvuldige en vakbekwame wijze zal plaatsvinden in overeenstemming met daarvoor geldende standaarden (denk aan: OWASP, ISSAF etc.).
Beding dat geen gebruik wordt gemaakt van middelen die schade veroorzaken zoals DDOS-aanvallen en de pentest op eerste verzoek wordt gestaakt (zoals wanneer de continuïteit in gevaar raakt of dreigt te raken).
Ga alleen in zee met pentesters die in het bezit zijn van een certificaat voor ethical hackers. Het OSCP-certificaat is hier een goed voorbeeld van.
Beding absolute vertrouwelijkheid/geheimhouding van informatie. Zowel wat betreft informatie waartoe de pentester toegang toe zou krijgen, maar ook over de uitvoering en resultaten van de pentest.
Verzwaar de vertrouwelijkheid/geheimhouding bij voorkeur met een boetebeding (naast de mogelijkheid om verkeerd gedrag te bestraffen, heeft dit onmiskenbaar ook een preventief effect om het juiste gedrag te bevorderen).
Zorg dat een vrijwaring of uitsluiting van de aansprakelijkheid van de pentester niet ruimer is dan vereist/gewenst: de pentester zal verantwoordelijk en aansprakelijk dienen te zijn en te blijven voor een goede uitvoering van de pentest in overeenstemming met de daarover gemaakte afspraken.
Meer weten over het treffen van voorzorgsmaatregelen bij pentesten?
Neem dan contact op met een van onze ICT-juristen en laat u adviseren over het opstellen van een goede pentest waiver.
Blijf op de hoogte
Op de hoogte blijven van deze en andere ontwikkelingen en actualiteiten? Meldt u zich dan nu aan voor de maandelijkse nieuwsbrief van Legalz.