Dziś się dowiesz się jakie kwestie powinna zawierać umowa na test penetracyjny w firmie. Ponadto:

  • Czy wykonując lub zlecając testy penetracyjne można trafić do więzienia?
  • Czy testując aplikację opartą na Azure masz szanse spotkać się w sądzie z Microsoftem?
  • Co ma śmierć CTO do upadku meteorytu?

Umowa na test penetracyjny

W ostatnim czasie zrobiło się głośno o dwóch pentesterach, którzy mieli za zadanie wykonanie audytu i tym samym sprawdzenie zabezpieczeń sądu. Ktoś się jednak nie spodziewał tego, że firma wykonująca testy bezpieczeństwa podejmie również próby fizycznego wtargnięcia do siedziby budynku.

Panowie zostali złapani i aresztowani. Więcej na temat sprawy możecie poczytać w tym miejscu:

https://arstechnica.com/information-technology/2019/09/check-the-scope-pen-testers-nabbed-jailed-in-iowa-courthouse-break-in-attempt/

Uznałem jednak, że jest to dobra okazja do tego, by poruszyć temat tego co powinna zawierać umowa na test penetracyjny oraz tego jak takie testy uzgodnić, a później przeprowadzić.

Przepisy

Wykonując testy penetracyjne należy zawsze pamiętać o przepisach oraz umowie jaką się podpisało. Warto tu zwrócić uwagę na to, iż pentester mimo wszystko w dalszym ciągu dokonuje ataku hakerskiego. Mimo iż jest to za zgodą i wiedzą atakowanych to jednak warto pamiętać o przepisach. Szczególnie gdy jedna ze stron pochodzi z zagranicy. A w tym przypadku nie tylko przepisy mogą się znacząco różnić. Również przyzwyczajenia kulturowe, które znacząco wpływają na wykonywane czynności.

Kluczowe w tym przypadku jest, by mieć wszystko zapisane w umowie. Wszelkie czynności, które będzie wykonywać penterster muszą być konieczne spisane. Uchroni to przed ewentualnymi konsekwencjami prawnymi gdyby doszło do nieporozumień. Wykonujący nie zostanie oskarżony o coś czego nie planował, a klient nie znajdzie się w sytuacji gdy pentester wykonał nieautoryzowaną czynność, która unieruchomiła biznes.

test penetracyjny newsletter

Pozwolenie na wszystko?

Kolejna kwestia o jakiej należy zdawać sobie sprawę to fakt, iż nawet jeżeli audytor posiada dostęp do sieci klienta to nie zawsze wszystko mu wolno. Nawet jeżeli nadano mu pełne uprawnienia administracyjne to nie jest to przyzwolenie na pełen dostęp do danych.

Przykładowo, sprawdzając, odczytując czy tym bardziej kopiując pocztę firmową pracowników lub dane zawarte w bazie danych aplikacji automatycznie penterster łamie prawo. To, że posiada się dostęp nie oznacza, że można zaglądać gdzie się chce. Zasada jest prosta: Na wszystko co planuje się zrobić, konieczne jest pozwolenie w umowie. Umowa na test penetracyjny musi zawierać każdą czynność. Pentester chce sobie poczytać pocztę pani Basi z księgowości? Ok. Niech najpierw zapisze to w umowie, a później uzyska podpis osoby decyzyjnej.

Jeżeli wykonujący testy nie ma na daną czynność pozwolenia na piśmie to jest to jednoznaczne z tym, że wykonuje test hakerski. Pójdzie zatem za kratki!

Dlaczego umowa na test penetracyjny być musi?

Jeżeli dalej się zastanawiasz dlaczego spisanie umowy między klientem, a wykonującymi testy penetracyjne jest takie ważne to przedstawiam kolejne argumenty.

Przede wszystkim dlatego, że nie wszyscy w firmie w której wykonywany jest audyt są świadomi pracy pentestera. Jeżeli więc audytor dogada się z CTO na zlecenie i nie spisze umowy, a podczas ataku wyłączony zostanie serwer produkcyjny i tym samym firma zostanie narażona na ogromne straty przez zatrzymanie ciągłości działania to skąd pewność, że CTO przyzna się, iż wyraził zgodę na taką działalność. W jeszcze gorszym przypadku, śmierć CTO pogrąży Cię jeszcze bardziej. Wiem, trochę teraz dramatyzuję, jednak powiedzmy sobie szczerze. Tak jak meteoryt może uderzyć w Twój dom, tak i taki przypadek może się wydarzyć. Zatem, pilnujmy podstawowych zasad higieny współpracy IT z biznesem. Spisujmy wszystko na umowie!

umowa na test penetracyjny

Serwer w chmurze?

Uwzględniając aspekty prawne, warto również pamiętać o zewnętrznych dostawcach usług. Weźmy za przykład serwery w chmurze. Musisz pamiętać o tym, że w przypadku testu penetracyjnego serwera w chmurze, atakowany jest nie tylko klient lecz także firma utrzymująca serwer.

Na potrzeby tego artykułu próbowałem znaleźć taki mem. Jedna osoba mówi do drugiej:

– A co gdybym Ci powiedział, że serwer w chmurze jest po prostu serwerem kogoś innego?

Niestety, nie udało mi się go znaleźć. Jak komuś się uda lub wie o co chodzi to niech da znać 😊

Przykładowo, wykonując testy penetracyjne aplikacji uruchomionej na platformie Azure w rzeczywistości atakuje się serwer Microsoftu. Dokładnie tak. Wykonujecie atak hakerski na Microsoft!

Niezależnie od tego czy jesteś w tym momencie klientem czy pentesterem to chyba nie chcesz spotkać się w sądzie z takiej wielkości firmą?

Należy koniecznie ich poinformować o takich pracach i oczywiście, otrzymać odpowiednia zgodę. Na szczęście każda z większych platform jest na to przygotowana. Na witrynach kluczowych dostawców serwerów w chmurze bez problemu znajdziesz odpowiednie formularze z prośbą o zgodę na wykonanie tego typu testów. Pamiętajmy o tym. Chwila pracy może uchronić przed ogromnymi konsekwencjami.

O czym jeszcze należy pamiętać?

Poza główną umową warto z automatu podpisać NDA. Tzw. Klauzula poufności uchroni głównie klienta, a nie pentestera. Jednak naturalnym jest, że każda świadoma firma będzie tego wymagać. Dlatego zachęcam osoby, które wykonują testy penetracyjne lub te, które zamierzają zając się tym zawodem, by same wychodziły z inicjatywą. Z jednej strony pomaga to zwiększać świadomość wśród firm, a jednocześnie udowadniacie na starcie swój profesjonalizm. W tym miejscu obie strony mają okazję zawrzeć wszelkie informacje, które chciałyby chronić odnośnie swojej pracy. Firma swoje wrażliwe dane. Natomiast pentester chroni w ten sposób wykonywane przez niego zadania, umowę, finalną wersję raportu dostarczoną po zleceniu czy nawet stawki za pracę. Pamiętajmy, że NDA ma na celu chronić obie strony.

Umowa na test penetracyjny – podsumowanie

Podsumowując, umowa na test penetracyjny musi zawierać dokładny zakres testów. Należy podać dokładną liczbę serwerów, urządzeń sieciowych czy aplikacji, które będą „atakowane”. Uchroni to obie strony przed późniejszymi nierozumieniami czy kwestią rozliczenia po wykonanej pracy.

Interesujesz się bezpieczeństwem informatycznym? Zapraszam po więcej – Bezpieczeństwo informatyczne.

Zachęcam do odwiedzenia moich profili w mediach społecznościowych, byś mógł być na bieżąco:


instagram_askomputer


instagram_askomputer pinterest_1475538227_280 social_facebook_box_blue pobrany plik Arkadiusz_Siczek_linkedin Arkadiusz Siczek Usługi informatyczne