Google is your friend. https://www.google.com/search?q=voorbeeld+vrijwaringsverklaring+penetration+test

Eens dat dat een makkelijke methode is, TS is hier niet mee geholpen aangezien hij/zij waarschijnlijk een techneut is en geen jurist. Het belangrijkste is denk ik dat de vrijwaring zelf (aansprakelijkheid) voor beide partijen redelijk zijn. Als je alles uitsluit gaat de klant waarschijnlijk niet mee, als je een 'redelijke' disclosure maakt waarin je aansprakelijk gesteld kunt worden bij roekeloosheid of grove nalatigheid zal je klant hier (eerder) in meegaan.

Anders voorleggen aan de bedrijfsjurist van je stageplek, succes!

Ik vraag me af hoe iemand die niet eens zelfstandig een voorbeeld vrijwaringsverklaring voor een pentest kan vinden, denkt een professionele pentester te kunnen worden. Open source intelligence skills zijn redelijk essentieel bij dit werk.

Ik snap niet waarom mensen (ook in mijn koekwaus blaatverhaal topics waar ik een beetje afdwaal) zich zo aangesproken voelen of getriggerd of misschien zijn het wel demonen waardoor er cynisch of neerbuigend gereageerd moet worden op andere mensen.

Het lijkt wel Nujii punt NL. Lieve mensen draag toch vooral bij in plaats van elkaar alleen maar op elkaars vermeende gebreken of vermeende fouten wijzen. Dat maakt een forum toxisch en voor je het weet trek je andere cynici aan zoals compotdenkers en trollen.

Als bijdrage voor Siem heb ik helaas geen voorbeeld maar misschien kun je voor een eigen particuliere site of met instemming voor iemand die een zaak heeft een paat vrijblijvende offertes aanvragen bij pentest bedrijven en die als template gebruiken. Dan moet je bij de offerte aanvraag wel een smoes gebruiken dat het bedrijf graag eerst de vrijwaringsverklaring wil toetsen en of ze die willen bijsluiten.
Het is toch meestal een template.

Even op internet zoeken naar rechtenstudenten en als je een goeie hebt een voorstel te doen om te helpen met jouw vraag of toetsing van een juridisch stuk, met IT security hulp als tegenprestatie. Zo heb ik in mijn jonge jaren heel wat leuke rechtenstudentes ontmoet en het kostte niks en leverde allerlei extratjes op :)

Een bedrijf dat pentesten uitvoert zonder kennis op alle rakende vlakken inclusief juridsch vraagt erom om aangeklaagd te worden. Het gebruik van enkel een vrijwarings verklaring is absoluut niet genoeg. Denk aan een verwerkingsovereenkomst een geheimhouding verklaring.

Daarnaast moet een vrijwaring verklaring altijd op maat gemaakt worden per klant omdat anders een jurist gehakt maakt van de juridische dekking als er een conflict ontstaat naar aanleiding van foute diagnose, schade of simpel weg onenigheid als je klant al niet wegloopt voor het contract getekend is. Het is in de praktijk bijna onmogelijk om 100% vrijwaring te krijgen Normaliter deel je het risico en dek je vooral af waar de kans van problematiek minimaal is. Beetje zoals verzekeringen opereren of zakelijke Datacenter Provider met uptime garantie

Daarom gaan deze documenten normaliter altijd nog langs een redactie bestaand uit een jurist en sales alvorens het door een accountmanager of de vertegenwoordiger wordt overgedragen. Een auditor zelf stelt de rapportage op en plan van aanpak maar zeker niet de vrijwaringverklaring.

Hieronder een voorbeeld document welke *niet* volledig is qua inhoud en waarschijnlijk al paar jaar oud is. Het geeft echter een basis om vanaf een document te ontwerpen. https://docplayer.nl/2407629-Security-audit-en-vrijwaringsovereenkomst.html

Degene die dit schreef doet duidelijk geen goede risico analyses.
Immers, zo een juridisch contract kan grote gevolgen hebben als je het verkeerde template pakt.
Blijkbaar is het nog nooit mis gegaan, want als dat gebeurd was deze reactie nimmer gegeven.

Sluit je bijvoorbeeld niet uit dat sub-contractors het probleem zijn van degene die je test, dan zit je met gebakken peren.
Vergeet je even te noemen dat op alles wat je doet het NL recht van toepassing is, mag je wellicht even naar een rechtbank in de USA.

Google geeft echt niet overal de juiste antwoorden op. TS vraagt immers niet om een random voorbeeld, maar een goed voorbeeld.

Op de site van het ncsc stond ooit een document waar aardig wat tips instonden. Kan deze zelf nu even niet vinden, mocht iemand hem wel weten op te snorren, post de link even.

Ik denk dat het grootste probleem is dat er meteen met allerlei termen gesmeten wordt en de daadwerkelijke situatie uit het oog verloren wordt.
Dit is zo te zien gewoon een stagiair die een paar maanden bij een bedrijf komt te zitten, en zijn opdracht is "kijk eens naar hoe veilig onze IT omgeving eigenlijk is".
Dat gebeurt als het goed is met een stagebegeleiding en onder een stage overeenkomst (een soort arbeidscontract).
M.a.w. wat die stagiair uitvreet en wat daar de gevolgen van hemzelf voor zijn dat valt gewoon onder de algemene regelgeving voor arbeidscontracten en stages.
Zo'n "pen test contract" dat is voor als je extern ingehuurd wordt om zo iets te doen bij een bedrijf waar je niet "binnen zit", dat is een HEEL andere situatie!

Lijkt mij onjuist. De kans is groot dat dit een pen-test stage betreft als ik het zo lees, waarbij je alleen voor die pen-test even in stage komt, vaak is dat zonder allerlei contracten.

Maar zelf als hij helemaal in dienst komt, de kans is groot dat hij een test gaat uitvoeren op iets wat in de cloud staat. Daar heeft het bedrijf niet altijd meteen zelf iets over te zeggen. Je wilt dit dan echt goed even formeel afgetikt hebben. Desnoods doe je het binnen de kaders van Responsible Disclosure die het bedrijf al heeft, maar je wilt wel iets van een basis hebben.

Je stapt toch ook niet in een auto van de dealer tijdens een proefrit zonder even de verantwoordelijkheden en verzekering te hebben afgekaart? Doe je dat wel, dan kun je wel eens een probleem hebben als je die auto tegen de vangrail zet. Pas dan kom je er altijd achter dat een bedrijf toch ineens niet zo vriendelijk blijkt te zijn als dat de koffie proefde.

Dit leest gewoon als een IT bedrijf verhuurt stagiair richting klant. Ik lees hier werkelijk niets over intern gebruik door het stage bedrijf zelf. In dat geval had de TS gezet Voor het stage bedrijf waar ik zit moet ik een pentest verrichten.
Herlees nog een keer de originele post en je ziet wat ik bedoel.

Voor stage ga ik een pentest uitvoeren bij een klant, (niet het stage bedrijf)
het bedrijf waar ik stage loop heeft zelf niet veel ervaring met pentesten en heeft dus ook geen voorbeeld vrijwaringsverklaring (niet de klant in kwestie)
Moment dat er gesproken werdt over klant ging het niet over binnen zitten bij een stage bedrijf.

Daarnaast is er veel te weinig bekend over welke vorm van pentest het gaat. Gaat het om controle, advies of ook patching. Dit zijn allemaal zaken dat het IT bedrijf waar de stagiar zit moet uitzoeken en vastleggen en niet de stagiair oft de klant.

De reden dat er met termen gesmeten wordt is omdat dat de enige manier is dat je dit soort zaken kunt benaderen. Dit heeft enorme consequenties voor stagiair, het bedrijf en de klant welke blijkbaar alle drie niet kunnen overzien als er iets mis gaat en het is absoluut not done om een stagiair zonder ervaren senior auditor op zo klus te zetten. Alsof je een iemand met een drone brevet in de cockpit van een airliner zet.

Bedankt voor de reacties, om te verduidelijken het gaat dus om een klant van mijn stagebedrijf waar zij zelf het beheer in handen hebben en daar ook veel te zeggen hebben binnen dat bedrijf (beetje kind aan huis). De pentest is niet noodzakelijk maar gewoon om als opdracht te gebruiken voor mijn stage. Mijn doel is om op basis van een aantal scans en door gebruik te maken van dergelijke tooling een advies uit te brengen over hoe veilig hun omgeving is. Ik ga ook geen onnodige risico's nemen als ik bijvoorbeeld een zwakte heb gevonden in een van de systemen door te proberen om echt in het systeem te komen. De pentest zal vrij oppervlakkig blijven.

Het is dus de klant van je stagebedrijf. Dat is wel tricky aangezien er best iets om kan vallen door een actieve scan of een verkeerd gekozen optie (als stagiair ben je student dus nog lerende). Spreek dus goed door wat de risicos zijn en hoe je stageplaats dit juridisch af wil laten dichten. Is er een ervaren pentester bij betrokken of doe je het naar aanleiding van wat je jezelf hebt aangeleerd?

Ik doe dit naar aanleiding van wat ik op de opleiding heb geleerd, verder is er helaas geen ervaren pentester bij.

Als blijkt dat de beveiliging zo lek als een mandje is en je per ongeluk bij bestanden kon komen die niet zijn besproken met de klant heeft het bedrijf al gauw te maken met een datalek. Baken je scangebied goed af en zorg voor getekende documenten omtrent responsible disclosure.

Daarnaast kan dit echt heel slecht uitpakken als blijkt dat het stage bedrijf waar jij zit de zaakjes dus niet in orde heeft naar aanleiding van de quickscans. Gezien ze wel beheer voert voor de klant in kwestie. Ze zijn dan mede aansprakelijk te stellen omdat de opdrachtgever er van uit mag gaan dat de uitvoerder kennis van zaken heeft waar ze voor betalen. Betekend niet dat de uitvoerder vrij uit gaat maar verdelingsleutel omtrent claims is niet mals.

Voor een soortgelijk rampscenario zie zaaknummer C/13/640668
https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBAMS:2018:10124

Het ontbreken van een medior, senior auditor supervisor wegens omstandigheden is normaliter voor ons al reden genoeg om een audit in de ijskast te zetten. Four eyes principal is een harde eis gevolgd door de redactie voor censoring en taalkundige verbetering waar nodig. Stage opdrachten worden net zo streng behandeld als volwaardige klantopdrachten het enige verschil is hoeveel verantwoordelijkheid wordt neergelegd bij de uitvoerende auditor.

Eens een IT sec bedrijf bellen misschien zijn ze wel aardig en mag je er "kinderstage" lopen? Of snuffelstage (hoewel mensen niet snuffelen)

Er kwam een bedrijf in mij op... Exset Labs. Ik ken ze verder niet maar iets in mij zegt dat dit wel eens een goede lead kon zijn.

Groetjes

Ron M.K

Mooie case!
Pikant detail ook: Na betaling van drie bitcoins á € 963,61 per stuk heeft [X] weer toegang gekregen tot haar bestanden.
Ben dan wel benieuwd hoe vaak dit bedrijf daarna nogmaals is aangevallen, immers, ze betalen.

Zoek dan een andere stageplek! Zelf rommelen onder het mom van stage en dan zonder begeleider dat is niks waard.
Je wilt er ook wat van leren, en dat leren is niet op het gebied van "hoe doe ik dat pentesten precies" maar nou juist op
wat er allemaal omheen hangt, en als je geen begeleider hebt dan heb je dat niet.

Moet een stagiaire tevens jurist zijn ? Is dit niet aan de stage begeleider, om dit te regelen ? Breder gezien, is het aan een pen tester om de vrijwaringsverklaring te regelen, namens de klant, zodat deze ingedekt is, tegen fouten, gemaakt door de pentester ? Ergens denk ik ''dubbele pet''.

Klopt, daarom kan je als pen tester en niet jurist enkel een voorbeeld aandragen; een bedrijfsjurist moet hier verder inhoudelijk naar kijken. Wel is het vrij essentieel, als pentester, om goede skills te hebben, op gebied van open source intelligence. Uitgaande van jouw redenering is de vraag stellen op een forum, met bovenal techneuten overigens even onzinnig.

Conclusie risico analyse: Indien je zelf zoekt, is een voorbeeld niet goed. Indien je het vraagt op een forum, en een voorbeeld wat men je daar verstrekt, dan is het wel in orde. Succes, met je risico analyse ;)

Is dit een pen test, of een vulnerability scan ?

De vraag is een beetje wat de schaal en verwachting zijn - van de eindklant, van je stagebedrijf, en van jou.

En wiens wens/idee de pentest is.

Er zitten hier wel heel veel mensen die achter elke kans een gevaar zien, en acteren alsof elke pentest op een Intensive Care hartmonitor uitgevoerd wordt, en iedere eindklant de intentie heeft om elke kans aan te grijpen om de leverancier het vel over de over te halen.
Dat is natuurlijk soms het geval - maar meestal niet .


Gezien jouw eigen gebrek aan ervaring , en het ontbreken van een begeleidende ervaren pentester, gaat het hooguit laaghangend fruit opleveren.
Dat is niet verkeerd - je moet beginnen met de grootste / simpelste problemen aan te pakken .

Er moet alleen niet de verwachting zijn dat ze daarna een überveilig perfecte situatie hebben - want de kans is groot dat jij niet alles vindt.

Ook _jouw_ verwachting moet je tempereren - je leert best een hoop door een keer iets zelf te _doen_ , maar wat je nu niet krijgt is feedback van een senior pentester, en sommige dingen zul je niet aan denken, of gewoon onhandig doen.

Het is hier wel prettig dat jouw stagebedrijf blijkbaar ook de beheerder is - dan wordt het praktisch gezien , wat jij stuk maakt mag en moet je (/jullie) ook zelf repareren .
Het is natuurlijk wel een 'slager keurt eigen vlees' geval - wat jij vindt aan problemen zijn problemen die je stagebedrijf gemaakt heeft, of heeft laten zitten.
Het wordt daarmee ook iets van een interne verbeterslag , waar moet je stagebedrijf meer op letten als ze dingen beheren bij een klant .
Wat ze daarmee naar de klant doen - overleg dat wel, want bij de eindklant roepen "jezus wat een brakke zooi hier" terwijl je stagebedrijf daarvoor verantwoordelijk is maak je geen vrienden mee. Je hoeft niet te liegen , maar het is niet aan jou om een zakelijke relatie kapot te maken.

Het *doel* van een vrijwaringsverklaring is uiteindelijk om je in te dekken - aangezien een pentest feitelijk neerkomt op computervredebreuk - en dus strafbaar is als het zonder toestemming van de eigenaar van de systemen gebeurt .
Daarnaast is er enig risico op verstoring , en daar ben je normaal gesproken ook aansprakelijk voor - en in de vrijwaringsverklaring wijs je op de mogelijkheid, beloof je zorgvuldig te zijn, en sluit je aansprakelijkheid als het toch nog misgaat uit.

Als de situatie inderdaad is zoals het klinkt - kleine IT dienstverlener die een goede relatie heeft met een kleine klant - wordt die soep niet zo heet gegeten.
Je bedrijf zal al weten wat er belangrijk is voor de klant , en hoe/wanneer je kunt testen zonder veel risico ('vrijdag na 15:00' ?) .
Zoek een aantal voorbeelden , lees ze grondig door, bedenk wat er nu eigenlijk staat, en bespreek dat met de accountmanager/directeur/jurist van je stagebedrijf .
In elk geval degene die weet wat het bedrijf *nu* contractueel (en daarnaast informeel) belooft aan de klant .
In de situatie 'beheerbedrijf doet pentest van door henzelf beheerde apparatuur' wordt het eerder een aanvulling op het bestaande beheercontract dan iets aparts .

Het wordt wel iets spannender als jij ook gaan pentesten tegen apparatuur van de klant zelf, of van andere leveranciers (gebouwsysteem ? internet gateway ? ) - daar moet je over nadenken , of misschien vanaf blijven.

En denk na over je eigen verwachtingen, en wat je uit je stage wilt of moet halen.
Je kunt 'm niet opvoeren als volwaardige stage "pentester" - wegens gebrek aan begeleiding.
Maar een stage als verbetering van een beheerde IT dienst, wegwerken van voor de hand liggende security problemen, en met het nodige eigen initiatief lijkt je prima op weg.

(kijk, een stagair bij een pentest toko die alleen maar de kant en klaar ingerichte tools start, vinkjes checked en er een rapport omheen flanst leert nou ook niet bijster veel - minder dan iemand die helemaal zelf begint met de tools en de problemen te onderzoeken )

Het zal inderdaad eerder een vulnerability scan zijn dan een pentest.

Ik denk dat de eerste stap die je moet nemen is dat het in het kader van een dergelijke stage totaal oninteressant is
wat er uit die test kwam, maar dat het 100% draait om het hele proces.
Dus hoe bereid je zo iets voor, hoe maak je er een verslag van, hoe zorg je dat dat verslag er professioneel uit ziet.
Wat er precies voor bevindingen rond die pentest zelf in staat dat boeit helemaal NIET, het gaat er om of het verslag
voor de klant begrijpelijk en acceptabel is en voor het bedrijf waar je stage loopt representatief en professioneel is.

Tuurlijk dat valt een beetje tegen als je dacht de held uit te kunnen hangen die een kritiek lek vindt, maar dat is wel hoe
het werkt en wat het doel is van een stage. En dan niet alleen het maken van dat verslag zelf, maar ook de manier
waarop je informatie vergaart door contacten met diverse personen in het bedrijf. En dat je in staat bent om een
leesbaar verslag te maken in de taal waarin je dat moet doen (zonder dat er in iedere paragraaf 3 spel- en stijlfouten
zitten).

Daarom is het ook zo nutteloos om zo'n stage te doen zonder goede begeleider. Want dan draait het weer allemaal
om "het kunstje van het pentesten" en om dat te leren hoef je geen externe partij te hebben om te testen.

Wat een lul verhaal in (sommige) van de eerdere comments. Ik zie de tread vandaag pas.

- Vrijwaringsverklaring
Vrijwaringsverklaring word als goed is geregeld door het bedrijf waar je stage loopt, ik zou (als er geen kennis in huis is van de verklaringen etc) het simpelweg houden bij gewoon niet pentesten en niet vulnerabillity scannen voordat je straks genaaid word. Want buiten de juristische haakjes en oogjes, kan je technisch ook veel kapot maken en bijvoorbeeld perongelijk shells achterlaten. Hier heb je of heel veel tijd en kennis voor nodig, of een senior pentester.

- Voorbeelden zoeken
Zoek je toch een voorbeeld om je team een idee te geven? Dan is googlen toch de grote tip. Maar wat ik meestal doe wanneer het nodig was, was gewoon spieken bij penetratietest bedrijven die dit uitvoeren. Die hebben vaak Opensource vrijwaringsverklaringen etc voor je op hun websites/github staan ;). Of vraag het bedrijf als ze groot genoeg zijn, of een jurist er eentje voor je kan opstellen samen met een techneut. Je werkt nou eenmaal in een bedrijf met collega's #samenleving.

Interne tests en scans op non enterprise size bedrijven kan vaak gewoon mondeling (zorg dan toch voor jezelf dat het zwart op wit in je mail staat). Als je klanten gaat scannen/testen of enterprise omgevingen (ook intern) dan moet het juridisch echt pot dicht zitten.

Verder gewoon lekker je best doen en geen stress hebben/genereren. Doe ik ook ;). Mits ze zich ook eerlijk en open naar mij opstellen. Dat laatste is precies waarom ik niet meer voor de overheid/justitie/of enterprise bedrijven wil werken.

[GOOD LUCK AND TRY HARDER for your oscp nanana] https://www.youtube.com/watch?v=t-bgRQfeW64

- RAMLETHAL