Dzisiaj spotkałem się z sytuacją, w której osoba odpowiedzialna za bezpieczeństwo firmy zażądała od pentestującej firmy wycofania klauzuli w umowie, która mówi, że:
„w czasie pentestu istnieje możliwość niezamierzonego usunięcia lub zmodyfikowania wrażliwych danych w środowisku produkcyjnym z powodu wykonania niektórych narzędzi, exploitów, technik itp. ”
Klient oświadcza, że nie zaakceptuje tej klauzuli i że uważa, że żadna firma nie zaakceptuje tej klauzuli. Uważa, że podczas pentestu można uzyskać dostęp do informacji, ale nigdy ich nie usunąć ani zmodyfikować.
Wiemy, że wykonanie niektórych narzędzi, takich jak roboty sieciowe lub pająki, może usunąć dane, jeśli aplikacja internetowa jest bardzo źle zaprogramowana, więc taka możliwość istnieje zawsze, jeśli tego typu narzędzia będą używane.
Wiem, że takie są warunki klienta i należy je zaakceptować, ale:
Można wykwalifikowany i profesjonalny pentester zawsze zapewnia, że żadne dane nie zostaną usunięte ani zmodyfikowane w produkcji podczas pentestu?
Czy naprawdę można przeprowadzić pentest, jeśli pentest ma ograniczenia, że dane nie mogą być tworzone ani modyfikowane?
Czy pentestująca firma powinna zawsze dołączać klauzulę zrzeczenia się odpowiedzialności na wszelki wypadek?