Column


IT-jurist Peter van Schelven over...

Penetratietest en driehoeks-verhoudingen

Een driehoeksverhouding in de liefde is dikwijls enorm complex. Een goedbedoeld advies: niet aan beginnen! In het recht zijn verhoudingen met drie partijen niet zelden aanzienlijk complexer. Die laatste zijn echter veelal onvermijdelijk.

Zo ook wanneer een organisatie een securityserviceprovider wenst in te schakelen om een penetratietest op haar IT-systemen uit te voeren. Het inbreken in een IT-systeem om eventuele kwetsbaarheden aan het licht te brengen, brengt heel wat lastige juridische vragen met zich mee. Deels vloeien die voort uit de strafbaarheid van hacking, iets wat in het Wetboek van Strafrecht overigens officieel ‘computervredebreuk’ wordt genoemd. In de strafwetgeving is bepaald dat daarvan sprake is als je opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan.

Gevarenzone
Het spreekt voor zich dat het uitvoeren van een penetratietest erop gericht is om een geautomatiseerd systeem binnen te dringen. In potentie zit een penetratietest dus in de strafrechtelijke gevarenzone. Dat noopt tot een extra alerte houding, want met het uitvoeren van de test wil de securityserviceprovider uiteraard niet het risico lopen door justitie te worden opgepakt en met een geldboete of celstraf te worden opgezadeld.

Hoe voorkomt de securityserviceprovider dat risico? Door toestemming te vragen. Van strafbaarheid is namelijk geen sprake als je als opdrachtgever toestemming geeft tot het binnendringen van het te testen systeem. Door een toestemming komt, zoals dat in juridisch jargon heet, de wederrechtelijkheid te vervallen. Zonder wederrechtelijkheid is er derhalve geen strafbaar feit en in zoverre zitten de partijen dan safe.

Toestemming
Een ondubbelzinnige toestemming is dus een harde voorwaarde voor een penetratietest die buiten de scope van het strafrecht moet vallen. Uit de toestemming moet ten minste duidelijk worden voor welke termijn de toestemming geldt. Wie na het verstrijken van de termijn doorgaat met het penetreren van het systeem handelt immers strafbaar.

Maar ook zal precies geregeld moeten worden welke systemen aan de penetratietest onderworpen zullen worden en dat is dikwijls al een lastig punt wanneer je voor aanvang van de test niet precies weet uit welke deelsystemen het geheel bestaat. Omvat de penetratietest niet alleen een of meer applicaties maar ook de daarbij ingezette firewall? En wellicht ook de systeemsoftware die afkomstig is van de hardwareleverancier?

Niet minder van belang is de vraag of de toestemming bepaalde onderzoeksmethoden of het gebruik van bepaalde hacktools uitsluit.

Hostingproviders en andere derden
Kortom, een set van vragen waar de securityserviceprovider bij het aangaan van een contract voor een penetratietest zeer zorgvuldig aandacht voor moet vragen. Dat geldt eens te meer als bij het te penetreren systeem ook derden betrokken zijn. Dat laatste doet zich met name voor als de opdrachtgever voor de test zijn systeem bij een andere partij heeft gehost. In dat geval zal de test er tevens op gericht zijn in te breken in de infrastructuur van de hostingpartij. Het ligt dan ook voor de hand dat ook zo’n derde partij haar toestemming voor de penetratietest moet geven. Geeft de hostingpartij geen toestemming, dan moet de test achterwege blijven.

In dit soort driehoeksverhoudingen is het voor de securityserviceprovider van belang tevoren goed na te denken of hij die toestemming zelf rechtstreeks regelt met de hostingprovider van zijn opdrachtgever. Of laat hij het ophalen van de toestemming over aan zijn opdrachtgever, met het risico dat dat slechts gebrekkig gebeurt? Deze afweging moet steeds van geval tot geval worden gemaakt.

Ketenproblematiek
Ik spreek hier over het simpele en alledaagse voorbeeld van een hostingprovider die als derde partij bij het te testen systeem betrokken is. De praktijk is echter dikwijls aanzienlijk complexer. Immers, voor een securityserviceprovider is het op voorhand wellicht niet precies duidelijk welke andere relevante derden bij de werking en instandhouding van het te testen systeem betrokken zijn. In zo’n geval is het dus ook niet duidelijk aan wie precies de benodigde toestemming moet worden gevraagd.

Een veelvoorkomend voorbeeld betreft het geval waarin een hostingpartij op haar beurt weer gebruikmaakt van een of meer subhosts of securityproviders die vanuit de cloud firewalls en securitydiensten aan het hostingbedrijf verlenen. Dergelijke vormen van ketenproblematiek compliceren de penetratietesten.

Penetratietesten: zonder twijfel een belangrijk middel in de praktijk om IT-security te versterken, maar in juridisch opzicht een erg lastig iets. Meer nog dan menig andere IT-dienst vereist het contracteren voor zo’n test de hoogst mogelijke zorgvuldigheid. Vaak geen sinecure!


IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com. 

Kijk hier voor de eerdere bijdragen van Peter van Schelven.

Lees meer over