Home IT-pentest: legaal of strafbaar?

IT-pentest: legaal of strafbaar?

juni 17, 2021

Peter van Schelven , Adviseur ICT & Recht

In de liefde zijn driehoeksverhoudingen doorgaans ingewikkeld. In IT-security is dat ook zo, of soms zelfs erger. Bij een niet al te complex geautomatiseerd informatiesysteem van een organisatie is vaak een wirwar van partijen betrokken. De problemen die dat oproept zie je bijvoorbeeld wanneer je, een penetratietest op jouw IT-systemen wenst te laten uitvoeren. Sinds jaar en dag plegen organisaties daarvoor ethische hackers of IT-securitybureaus in te schakelen. De contracten voor het uitvoeren van een penetratietest vragen speciale juridische aandacht.

IT-security

De contractuele voetangels en klemmen hangen namelijk samen met de strafbaarheid van hacking. Het Wetboek van Strafrecht noemt dat strafbare feit officieel ‘computervredebreuk’. Daarvan is sprake, zo zegt de wet, als je opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan.

Het spreekt voor zich dat het uitvoeren van een penetratietest erop gericht is om binnen te dringen in IT-systemen. Uiteraard met de bedoeling eventuele beveiligingsgaten in het systeem bloot te leggen (IT-security). In potentie zit een penetratietest dus in de strafrechtelijke gevarenzone. Ethische hackers of IT-security (bureaus) willen niet door justitie in de kraag worden gevat, met een geldboete worden opgezadeld of achter de tralies verdwijnen.

Hoe voorkom je dat strafrechtelijke risico? Van strafbaarheid is geen sprake als de opdrachtgever toestemming geeft tot het binnendringen van het te testen systeem. Door een toestemming komt, zoals dat in juridisch jargon heet, de wederrechtelijkheid te vervallen. Zonder wederrechtelijkheid is er geen strafbaar feit en in zoverre zit je als hacker dan safe.

Toestemming Informatiebeveiliging

Duidelijke toestemming is dus een harde voorwaarde voor een legale penetratietest. Maar aan welke eisen moet zo’n toestemming voldoen? Bij de ‘scope’ van de te beschrijven toestemming is er een legio aan onderwerpen. Uiteraard zal duidelijk moeten zijn hoe lang de toestemming geldt. Wie na het verstrijken van de termijn doorgaat met het penetreren van het systeem handelt eenvoudigweg strafbaar. Het beginmoment en het einde van de dienstverlening van de ethische hacker of het IT-securitybureau moeten dus klip en klaar in het contract zijn vastgelegd.

Ook zal in het contract precies geregeld moeten zijn welke systemen aan de penetratietest onderworpen worden. Zeker wanneer je voor aanvang van de test niet precies weet uit welke deelsystemen het te penetreren geheel bestaat, kan dat contractueel best een lastig punt zijn. Omvat de penetratietest bijvoorbeeld niet alleen een of meer expliciet genoemde stukken software, maar ook de daarbij ingezette firewall? En strekt de toestemming tot de test zich ook uit tot de systeemsoftware die afkomstig is van de hardware-leverancier?

In de praktijk niet minder belangrijk: wordt alleen toestemming gegeven tot het penetreren van systemen die in een testomgeving zijn opgenomen, of ook tot systemen die voor productieve doeleinden in gebruik zijn? Dat laatste levert immers forse operationele risico’s op.

In de contracten over penetratietesten zien we meer dan eens dat de toestemming om binnen te dringen afhankelijk is gemaakt van het gebruik van een specifieke onderzoeksmethode of van een bepaalde hacktool. De toestemming is dan techniek-gerelateerd, wat betekent dat de maker van het contract gedegen kennis moet hebben van de wijze waarop de penetratietest wordt uitgevoerd.

Hosting- en SaaS providers

Kortom, een aardig setje onderwerpen waaraan je bij het maken of beoordelen van een contract aandacht aan moet geven. Zorgvuldig contracteren is eens te meer geboden als er ook derden bij het te penetreren systeem betrokken zijn. Zoiets doet zich voor als de opdrachtgever van de test zijn systeem geheel of gedeeltelijk bij een andere partij heeft gehost of als hij gebruik maakt van SaaS-applicaties in de Cloud. In dat geval zal de ethisch hacker of het securitybureau zijn pijlen idealiter ook moeten richten op de IT van de hostingpartij of SaaS-provider. Het ligt dan ook voor de hand dat ook de hostingpartij en SaaS-provider toestemming voor het uitvoeren van de penetratietest gevraagd wordt.

Krijg je als ethisch hacker of securitybureau de toestemming van de hostingpartij of SaaS-provider niet, dan moet je – wil je niet in handen van het strafrecht vallen – de test achterwege laten.

Driehoeksverhoudingen zijn – ik zei het al – complex. Want ga je als ethisch hacker of IT-securitybureau zelf die toestemming rechtstreeks regelen met de hosting- of SaaS-provider van jouw opdrachtgever? Of laat je het ophalen van de toestemming geheel over aan jouw opdrachtgever over, op het risico af dat dat gebrekkig gebeurt? En welk bewijs van die toestemming verlang je in dat laatste geval?

In de contractpraktijk zie je dat ethische hackers en IT-securitybureaus hun bescherming tegen strafbaarheid in dit verband op sterk verschillende manieren regelen.

Ketens van ICT

Ik spreek hier over het simpele voorbeeld van één enkele hosting-provider die als derde partij bij het te testen systeem betrokken is. De werkelijkheid is vanzelfsprekend complexer. Immers, de partij die gevraagd wordt een penetratietest uit te voeren weet op voorhand veelal niet of en welke andere derde partijen exact betrokken zijn.

Veel hostingbedrijven maken immers op hun beurt weer gebruik van een of meer sub-hosts. In zo’n keten is het à la minute niet duidelijk aan wie precies toestemming tot het penetreren gevraagd moet worden.

Penetratietesten: zonder twijfel een wezenlijk middel om de IT-security van menige organisatie te versterken. Voor informatiebeveiliging dikwijls zelfs een absolute must. Dat kan alleen als er contractueel sluitende afspraken over de penetratietest worden gemaakt. Lang niet altijd een makkelijke taak!