Ethisch hacken uit de illegaliteit in België: bedreiging of opportuniteit

22/06/23

Op 15 februari 2023 trad de zogenaamde ‘Klokkenluiderswet’ in werking. Die wet maakt ethisch hacken mogelijk, zelfs als een bedrijf hier voorafgaand geen toestemming voor gaf. Er zijn een aantal voorwaarden, maar als die worden nageleefd wordt de hacking niet beschouwd als een misdrijf en is de ethische hacker niet strafbaar.

Wat is (ethisch) hacken?

Een hacker is iemand die zich toegang verschaft tot een computersysteem of netwerk, of zich daarin handhaaft, zonder dat hij daartoe gerechtigd is. Een hacker met slechte bedoelingen, zogenaamde black hat hackers, hacken voor eigen (geld)gewin. Een ethische hacker, ook wel een white hat hacker of security researcher genoemd, is iemand die hackt met de welgemeende bedoeling om te zoeken naar kwetsbaarheden in software en hardware die kunnen leiden tot een cyberaanval. Indien de ethische hacker een kwetsbaarheid vindt, zal die de organisatie in kwestie of de overheid daarover informeren en kan de organisatie actie ondernemen om de kwetsbaarheid te verhelpen. De bedoeling is dat ethische hackers kwetsbaarheden opsporen voordat een cyberbeveiligingsincident plaatsvindt. Op die manier dragen ze dan ook bij aan een betere cyberveiligheid van de informaticasystemen van ondernemingen.

Wat verandert de wet?

Volgens de Belgische strafwet zijn alle vormen van hacking, ethisch of niet, strafbaar, tenzij een onderneming hier voorafgaand toestemming voor geeft. Verschillende bedrijven maakten al gebruik van ethische hackers om hun cyberveiligheid te verhogen, eventueel gepaard met een (financiële) beloning, een zogenaamde bug bounty. Zeker voor kmo’s is dit interessant, aangezien zij meestal niet over dezelfde cyberbeveiligingsmiddelen beschikken als grote bedrijven.

Werken met ethische hackers is doorgaans dan ook budgetvriendelijker dan audits door externe bedrijven laten uitvoeren. Vaak gebeurt dergelijke samenwerking aan de hand van een ‘coordinated vulnerable disclosure policy’ (CVDP). Een CVDP is een geheel van regels die de organisatie die verantwoordelijk is voor het informaticasysteem vooraf bepaalt. Een CVDP biedt een juridisch kader voor de samenwerking tussen de verantwoordelijke organisatie en de ethische hacker. De verantwoordelijke organisatie moet de CVDP online publiceren, bijvoorbeeld op hun website. Voor meer informatie over de CVDP, zie deze eerdere bijdrage. Evenwel riskeerden ethisch hackers die geen voorafgaande toestemming van een bedrijf hadden nog steeds een straf- of burgerrechtelijke vervolging.

Een nieuwe wet (de zogenaamde Klokkenluiderswet) brengt hier nu verandering in. Een natuurlijke of rechtspersoon zonder frauduleuze bedoelingen of de intentie om schade te berokkenen, kan nu bestaande kwetsbaarheden in netwerken en informatiesystemen in België opsporen, zelfs als een bedrijf hiervoor geen toestemming gaf. Deze nieuwe wet geeft ethische hackers geen carte blanche, maar somt een aantal voorwaarden op. Als die voorwaarden worden nageleefd, wordt de hacking niet beschouwd als een misdrijf en is de ethische hacker niet strafbaar.

Ten eerste moet de ethische hacker handelen zonder bedrieglijk opzet of het oogmerk om te schaden. Zo is het bijvoorbeeld niet de bedoeling om een betaling te eisen van de organisatie in ruil voor de ontdekte informatie, tenzij vooraf uitdrukkelijk een beloning is voorzien in het kader van een bug bounty overeenkomst of een CVDP. Anders zou er namelijk sprake kunnen zijn van afpersing en dat is natuurlijk niet de bedoeling.

Ten tweede moet de ontdekte kwetsbaarheid zo snel mogelijk schriftelijk gemeld worden aan het Centre for Cyber Security Belgium (CCB). Het CBB is het nationale computer security incident response team (CSIRT). Ook moet de ethische hacker de organisatie die verantwoordelijk is voor het systeem, het proces of de controle zo snel mogelijk en uiterlijk op het ogenblik van de melding aan het CCB inlichten over de kwetsbaarheid.

Ten derde mag de ethische hacker niet verder gaan dan wat nodig en evenredig is om het bestaan van een kwetsbaarheid na te gaan. De ethische hacker moet zich dus beperken tot de handelingen die strikt noodzakelijk zijn voor de ontdekking en melding van een kwetsbaarheid. Als een kwetsbaarheid op een kleinschalige manier kan worden ontdekt, mag de hacker niet verder gaan. Ook moet worden vermeden dat de beschikbaarheid van betrokken diensten wordt beperkt.

Ten slotte is het belangrijk dat de ethische hacker geen informatie over de ontdekte kwetsbaarheid openbaar maakt zonder toestemming van het CCB. Het is dus niet mogelijk voor een hacker om bijvoorbeeld over een ontdekte kwetsbaarheid te schrijven op een eigen blog of website zonder voorafgaande toestemming van het CCB.

Als aan één van deze voorwaarden niet is voldaan, is de hacking toch strafbaar en kunnen bedrijven de ethische hacker alsnog aanklagen.

Naast voormelde wetgeving wordt van hackers verwacht dat ze de GDPR- en privacywetgeving respecteren. In de zoektocht naar kwetsbaarheden, moeten hackers de privacy van klanten en werknemers van de onderneming waarborgen en zich, wederom, zo veel als mogelijk beperken tot wat noodzakelijk is voor het ontdekken en melden van de kwetsbaarheid.

Belangrijk is ook dat deze bescherming alleen in België geldt. Als een kwetsbaarheid informaticasystemen betreft die niet in België te vinden zijn, is het goed mogelijk dat de toegang tot die systemen beheerst wordt door buitenlands recht. Het hacken van informaticasystemen buiten België, zelfs met goede bedoelingen en binnen de eerder genoemde voorwaarden, zou aldaar dus wel strafbaar kunnen zijn.

Wat verandert dit voor jouw onderneming?

Ethisch hacken is dus mogelijk, bij zowel kmo’s als grote bedrijven, zelfs als de onderneming in kwestie hier voorafgaand geen toestemming voor heeft gegeven. Dit kan een goede zaak zijn voor de cyberveiligheid in België en zal ook bij veel ondernemingen het risicobesef aanscherpen. Het nieuwe wettelijke kader is zeer welkom, maar de vraag blijft wel hoe de voorwaarden in de praktijk zullen toegepast worden. Wat bijvoorbeeld noodzakelijk en evenredig is voor de ene situatie en onderneming, kan bij een andere situatie en onderneming juist niet zo zijn. Daarnaast is het ook nog niet duidelijk hoe de toestemming door het CCB gegeven moet worden voor openbaarmaking van de kwetsbaarheid.

Ethische hackers zijn dus niets om schrik van te hebben. Uiteindelijk hebben ze ook alleen maar het beste voor met de cyberveiligheid van jouw onderneming. Je ziet ze dus best als een opportuniteit die je moet omarmen. Het beste is nog steeds om een CVDP uit te werken en te publiceren. Zo heb je als het ware de spelregels zelf in handen en kan je op voorhand duidelijk maken hoe je wilt dat ethische hackers wel of niet naar kwetsbaarheden zoeken.

Auteurs: Charlotte Somers en Koen Vranckaert, CiTiP, KU Leuven 

Publicatiedatum: 23 juni 2023

Recente Posts

Eerste hulp bij phishing

Eerste hulp bij phishing

Welke stappen onderneem je best wanneer je als bedrijf het slachtoffer wordt van phishing? Wie licht je in, waar dien je klacht in, en bij wie kan je proberen om het verloren bedrag terug te vorderen?

LEZEN